Шкідливе програмне забезпечення DarkGate

Виявлено спам-кампанію, яка використовує легкодоступне шкідливе програмне забезпечення, відоме як DarkGate. Дослідники з кібербезпеки припускають, що збільшення активності зловмисного програмного забезпечення DarkGate, ймовірно, пов’язане з нещодавнім рішенням розробника зловмисного програмного забезпечення пропонувати його в оренду вибраній групі партнерів-кіберзлочинців. Розгортання цієї загрози також було пов’язане з широкомасштабною кампанією, яка використовує скомпрометовані потоки електронної пошти, щоб ввести в оману одержувачів і змусити їх несвідомо завантажити шкідливе програмне забезпечення.

Зловмисне програмне забезпечення DarkGate доставляється через багатоетапний процес атаки

Атака починається, заманюючи жертву на фішингову URL-адресу, яка після натискання проходить через систему спрямування трафіку (TDS). Мета полягає в тому, щоб направити нічого не підозрюючих жертв до корисного навантаження MSI за певних умов. Однією з цих умов є наявність заголовка оновлення у відповіді HTTP.

Після відкриття файлу MSI запускається багатоетапний процес. Цей процес передбачає використання сценарію AutoIt для виконання шелл-коду, який служить засобом для розшифровки та запуску загрози DarkGate через шифрувальник або завантажувач. Якщо бути більш точним, завантажувач запрограмований на аналіз сценарію AutoIt і вилучення з нього зашифрованого корисного навантаження.

Також спостерігалася альтернативна версія цих атак. Замість файлу MSI використовується сценарій Visual Basic, який використовує cURL для отримання як виконуваного файлу AutoIt, так і файлу сценарію. Точний метод, використаний для доставки VB Script, наразі залишається невідомим.

DarkGate може виконувати численні шкідливі дії на зламаних пристроях

DarkGate може похвалитися рядом можливостей, які дозволяють йому уникати виявлення програмним забезпеченням безпеки, встановлювати постійність через зміни реєстру Windows, підвищувати привілеї та викрадати дані з веб-браузерів і програмних платформ, таких як Discord і FileZilla.

Крім того, він встановлює зв’язок із сервером командування та керування (C2), уможливлюючи такі дії, як перерахування файлів, вилучення даних, ініціювання операцій з видобутку криптовалюти, віддалений знімок екрана та виконання різних команд.

Ця загроза в основному продається на підпільних форумах за моделлю підписки. Пропоновані ціни варіюються від 1000 доларів на день до 15 000 доларів на місяць і навіть до 100 000 доларів на рік. Творець зловмисного програмного забезпечення рекламує його як «найкращий інструмент для тестерів пера/червоних команд», підкреслюючи його ексклюзивні функції, яких нібито немає більше ніде. Цікаво, що дослідники кібербезпеки виявили попередні ітерації DarkGate, які також включали модуль програми-вимагача.

Не піддавайтеся на хитрощі, які використовуються під час фішингових атак

Фішингові атаки є основним шляхом доставки різноманітних загроз зловмисного програмного забезпечення, зокрема викрадачів, троянів і завантажувачів шкідливих програм. Розпізнавання таких спроб фішингу має вирішальне значення, щоб залишатися в безпеці та не піддавати свої пристрої будь-яким небезпечним ризикам для безпеки чи конфіденційності. Ось кілька типових червоних прапорців, про які слід знати:

• Підозріла адреса відправника : уважно перевірте адресу електронної пошти відправника. Будьте обережні, якщо він містить орфографічні помилки, зайві символи або не відповідає офіційному домену організації, від якої він нібито належить.
• Невизначені привітання : у фішингових електронних листах часто використовуються загальні привітання, як-от «Шановний користуваче», замість того, щоб звертатися до вас на ім’я. Легітимні організації зазвичай персоналізують свою комунікацію.
• Термінові або загрозливі висловлювання : фішингові електронні листи, як правило, створюють відчуття терміновості або страху, щоб спонукати до негайних дій. Вони можуть стверджувати, що ваш обліковий запис призупинено, або ви зіткнетеся з наслідками, якщо не діятимете швидко.
• Незвичайні запити особистої інформації : будьте обережні з електронними листами, які просять надати конфіденційну інформацію, як-от паролі, номери соціального страхування або дані кредитної картки. Законні організації не запитуватимуть таку інформацію електронною поштою.
• Незвичайні вкладення : не відкривайте вкладення від невідомих відправників. Вони можуть містити зловмисне програмне забезпечення. Навіть якщо вкладення здається вам знайомим, будьте обережні, якщо воно несподіване або спонукає вас вжити негайних заходів.
• Занадто добре, щоб бути правдою. Пропозиції : фішингові електронні листи можуть обіцяти неймовірні винагороди, призи чи пропозиції, спрямовані на спонукання вас перейти за шкідливими посиланнями або надати особисту інформацію.
• Неочікувані посилання : будьте обережні з електронними листами, які несподівано містять посилання. Замість того, щоб клацати, вручну введіть адресу офіційного веб-сайту у свій браузер.
• Емоційна маніпуляція : фішингові електронні листи можуть намагатися викликати такі емоції, як цікавість, співчуття чи хвилювання, щоб отримати доступ до посилань або завантажити вкладені файли.
• Відсутність контактної інформації : законні організації зазвичай надають контактну інформацію. Будьте обережні, якщо в електронному листі ця інформація відсутня або містить лише загальну адресу електронної пошти.

Залишаючись пильними та навчаючись про ці червоні прапорці, можна значною мірою захистити себе від спроб фішингу. Якщо ви отримали електронний лист, який викликає підозри, краще перевірити його законність через офіційні канали, перш ніж вживати будь-яких дій.