DarkGate Malware

Ang isang kampanyang malspam na gumagamit ng isang madaling magagamit na malware na kilala bilang DarkGate ay inihayag. Iminumungkahi ng mga mananaliksik sa cybersecurity na ang pagtaas ng aktibidad ng malware ng DarkGate ay malamang dahil sa kamakailang desisyon ng developer ng malware na ihandog ito para sa upa sa isang piling grupo ng mga kasosyo sa cybercriminal. Ang deployment ng banta na ito ay nauugnay din sa isang malakihang kampanya na nagsasamantala sa mga nakompromisong email thread upang linlangin ang mga tatanggap sa hindi sinasadyang pag-download ng malware.

Ang DarkGate Malware ay Naihatid sa pamamagitan ng Multi-stage Attack Process

Nagsisimula ang pag-atake sa pamamagitan ng pag-akit sa biktima sa isang phishing URL, na, kapag na-click, ay dumadaan sa isang traffic direction system (TDS). Ang layunin ay idirekta ang mga hindi pinaghihinalaang biktima sa isang MSI payload sa ilalim ng ilang partikular na kundisyon. Isa sa mga kundisyong ito ay ang pagkakaroon ng refresh header sa tugon ng HTTP.

Sa pagbubukas ng MSI file, ma-trigger ang isang multi-stage na proseso. Ang prosesong ito ay nagsasangkot ng paggamit ng AutoIt script upang maisagawa ang shellcode, na nagsisilbing paraan upang i-decrypt at ilunsad ang banta ng DarkGate sa pamamagitan ng isang crypter o loader. Upang maging mas tumpak, ang loader ay naka-program upang pag-aralan ang AutoIt script at kunin ang naka-encrypt na payload mula dito.

Ang isang alternatibong bersyon ng mga pag-atake na ito ay naobserbahan din. Sa halip na isang MSI file, isang Visual Basic Script ang ginagamit, na gumagamit ng cURL upang makuha ang parehong AutoIt executable at ang script file. Ang eksaktong paraan na ginamit upang maihatid ang VB Script ay nananatiling hindi alam sa kasalukuyan.

Ang DarkGate ay Maaaring Magsagawa ng Maraming Masasamang Pagkilos sa Mga Nilabag na Device

Ipinagmamalaki ng DarkGate ang isang hanay ng mga kakayahan na nagbibigay-daan dito upang maiwasan ang pagtuklas ng software ng seguridad, magtatag ng pagtitiyaga sa pamamagitan ng mga pagbabago sa Windows Registry, pataasin ang mga pribilehiyo, at mang-agaw ng data mula sa mga web browser at software platform tulad ng Discord at FileZilla.

Higit pa rito, nagtatatag ito ng komunikasyon sa isang Command-and-Control (C2) server, na nagpapagana ng mga aksyon tulad ng file enumeration, data extraction, pagsisimula ng cryptocurrency mining operations, remote screenshot capture, at execution ng iba't ibang command.

Pangunahing ibinebenta ang banta na ito sa mga underground na forum sa ilalim ng modelo ng subscription. Ang mga inaalok na puntos ng presyo ay nag-iiba-iba, mula $1,000 bawat araw hanggang $15,000 bawat buwan at kahit hanggang $100,000 taun-taon. Pino-promote ito ng gumawa ng malware bilang ang "ultimate tool para sa mga pen-tester/red-teamer," na nagha-highlight sa mga eksklusibong feature nito na hindi umano makikita saanman. Kapansin-pansin, natuklasan ng mga mananaliksik ng cybersecurity ang mga naunang pag-ulit ng DarkGate na kasama rin ang isang ransomware module.

Huwag Maniwala sa Mga Trick na Ginamit sa Phishing Attack

Ang mga pag-atake sa phishing ay isang pangunahing paraan ng paghahatid para sa iba't ibang banta ng malware, kabilang ang mga magnanakaw, trojan, at malware loader. Ang pagkilala sa gayong mga pagtatangka sa phishing ay napakahalaga upang manatiling ligtas at hindi ilantad ang iyong mga device sa anumang mapanganib na panganib sa seguridad o privacy. Narito ang ilang karaniwang pulang bandila na dapat malaman:

• • Kahina-hinalang Sender Address : Suriing mabuti ang email address ng nagpadala. Mag-ingat kung naglalaman ito ng mga maling spelling, mga karagdagang character, o hindi tumutugma sa opisyal na domain ng organisasyon na sinasabing pinanggalingan nito.

• • Mga Hindi Tinukoy na Pagbati : Ang mga email sa phishing ay kadalasang gumagamit ng mga generic na pagbati tulad ng 'Mahal na Gumagamit' sa halip na tawagan ka gamit ang iyong pangalan. Karaniwang isinapersonal ng mga lehitimong organisasyon ang kanilang komunikasyon.

• • Apurahan o Mapanganib na Wika : Ang mga email sa phishing ay may posibilidad na lumikha ng pakiramdam ng pagkaapurahan o takot na mag-udyok ng agarang pagkilos. Maaari nilang i-claim na nasuspinde ang iyong account, o haharapin mo ang mga kahihinatnan maliban kung kumilos ka nang mabilis.

• • Mga Hindi Karaniwang Kahilingan para sa Personal na Impormasyon : Maging maingat sa mga email na humihingi ng sensitibong impormasyon tulad ng mga password, numero ng Social Security, o mga detalye ng credit card. Ang mga lehitimong organisasyon ay hindi hihingi ng naturang impormasyon sa pamamagitan ng email.

• • Mga Hindi Pangkaraniwang Attachment : Huwag magbukas ng mga attachment mula sa hindi kilalang mga nagpadala. Maaaring naglalaman ang mga ito ng malware. Kahit na parang pamilyar ang attachment, mag-ingat kung hindi ito inaasahan o hinihimok kang gumawa ng agarang aksyon.

• • Masyadong Mabuting Maging Totoong Mga Alok : Ang mga email sa phishing ay maaaring mangako ng hindi kapani-paniwalang mga gantimpala, premyo, o alok na nilayon upang akitin ka na mag-click sa mga nakakahamak na link o magbigay ng personal na impormasyon.

• • Mga Hindi inaasahang Link : Maging maingat sa mga email na hindi inaasahang naglalaman ng mga link. Sa halip na mag-click, manu-manong i-type ang address ng opisyal na website sa iyong browser.

• • Emosyonal na Pagmamanipula : Maaaring subukan ng mga email sa phishing na pukawin ang mga emosyon tulad ng pag-uusisa, pakikiramay, o kasabikan upang ma-access ka ng mga link o mag-download ng mga attachment.

• • Kakulangan ng Impormasyon sa Pakikipag-ugnayan : Ang mga lehitimong organisasyon ay karaniwang nagbibigay ng impormasyon sa pakikipag-ugnayan. Kung ang isang email ay kulang sa impormasyong ito o nagbibigay lamang ng isang pangkaraniwang email address, maging maingat.

Malaki ang maitutulong ng pananatiling mapagbantay at pagtuturo sa iyong sarili tungkol sa mga pulang bandilang ito sa pagprotekta sa iyong sarili mula sa mga pagtatangka sa phishing. Kung nakatanggap ka ng isang email na nagpapataas ng mga hinala, mas mabuting i-verify ang pagiging lehitimo nito sa pamamagitan ng mga opisyal na channel bago gumawa ng anumang aksyon.