Giảm giá nhiều giấy phép
Threat Database Malware Phần mềm độc hại DarkGate

Phần mềm độc hại DarkGate

Đến năm Mezo năm Malware
Dịch sang:
Tiếng Việt Nam

Một chiến dịch malspam sử dụng phần mềm độc hại có sẵn có tên DarkGate đã được đưa ra ánh sáng. Các nhà nghiên cứu an ninh mạng cho rằng sự gia tăng hoạt động của phần mềm độc hại DarkGate có thể là do quyết định gần đây của nhà phát triển phần mềm độc hại là cho một nhóm đối tác tội phạm mạng chọn lọc thuê phần mềm này. Việc triển khai mối đe dọa này cũng có liên quan đến một chiến dịch quy mô lớn nhằm khai thác các chuỗi email bị xâm nhập để đánh lừa người nhận vô tình tải xuống phần mềm độc hại.

Phần mềm độc hại DarkGate được phân phối thông qua quy trình tấn công nhiều giai đoạn

Cuộc tấn công bắt đầu bằng cách dụ nạn nhân đến một URL lừa đảo, sau khi được nhấp vào, URL này sẽ đi qua hệ thống hướng dẫn giao thông (TDS). Mục tiêu là hướng những nạn nhân không nghi ngờ tới tải trọng MSI trong một số điều kiện cụ thể. Một trong những điều kiện này là sự hiện diện của tiêu đề làm mới trong phản hồi HTTP.

Khi mở tệp MSI, một quy trình nhiều giai đoạn sẽ được kích hoạt. Quá trình này bao gồm việc sử dụng tập lệnh AutoIt để thực thi shellcode, đóng vai trò như một phương tiện để giải mã và khởi chạy mối đe dọa DarkGate thông qua trình mã hóa hoặc trình tải. Nói chính xác hơn, trình tải được lập trình để phân tích tập lệnh AutoIt và trích xuất tải trọng được mã hóa từ nó.

Một phiên bản thay thế của các cuộc tấn công này cũng đã được quan sát thấy. Thay vì tệp MSI, một Tập lệnh Visual Basic được sử dụng, sử dụng cURL để truy xuất cả tệp thực thi AutoIt và tệp tập lệnh. Phương pháp chính xác được sử dụng để phân phối VB Script hiện vẫn chưa được biết.

DarkGate có thể thực hiện nhiều hành động có hại trên các thiết bị bị vi phạm

DarkGate tự hào có một loạt khả năng cho phép nó tránh bị phát hiện bởi phần mềm bảo mật, thiết lập tính bền vững thông qua sửa đổi Windows Register, nâng cao đặc quyền và lấy cắp dữ liệu từ trình duyệt web và nền tảng phần mềm như Discord và FileZilla.

Hơn nữa, nó thiết lập liên lạc với máy chủ Chỉ huy và Kiểm soát (C2), cho phép thực hiện các hành động như liệt kê tệp, trích xuất dữ liệu, bắt đầu hoạt động khai thác tiền điện tử, chụp ảnh màn hình từ xa và thực hiện các lệnh khác nhau.

Mối đe dọa này chủ yếu được tiếp thị trên các diễn đàn ngầm theo mô hình đăng ký. Các mức giá được đưa ra khác nhau, từ 1.000 USD mỗi ngày đến 15.000 USD mỗi tháng và thậm chí lên tới 100.000 USD mỗi năm. Người tạo ra phần mềm độc hại quảng cáo nó là "công cụ tối ưu dành cho người kiểm tra bút/nhóm đỏ", nêu bật các tính năng độc quyền của nó được cho là không tìm thấy ở bất kỳ nơi nào khác. Điều thú vị là các nhà nghiên cứu an ninh mạng đã phát hiện ra các phiên bản DarkGate trước đó cũng bao gồm một mô-đun ransomware.

Đừng mắc phải những thủ thuật được sử dụng trong các cuộc tấn công lừa đảo

Các cuộc tấn công lừa đảo là con đường phân phối chính của nhiều mối đe dọa phần mềm độc hại, bao gồm kẻ đánh cắp, trojan và trình tải phần mềm độc hại. Nhận biết những nỗ lực lừa đảo như vậy là rất quan trọng để giữ an toàn và không khiến thiết bị của bạn gặp bất kỳ rủi ro nguy hiểm nào về bảo mật hoặc quyền riêng tư. Dưới đây là một số cờ đỏ điển hình cần lưu ý:

    • Địa chỉ người gửi đáng ngờ : Kiểm tra cẩn thận địa chỉ email của người gửi. Hãy thận trọng nếu nó chứa lỗi chính tả, ký tự thừa hoặc không khớp với miền chính thức của tổ chức mà nó tuyên bố là thuộc về.
    • Lời chào không xác định : Email lừa đảo thường sử dụng lời chào chung chung như 'Kính gửi người dùng' thay vì gọi bạn bằng tên. Các tổ chức hợp pháp thường cá nhân hóa hoạt động giao tiếp của họ.
    • Ngôn ngữ khẩn cấp hoặc đe dọa : Email lừa đảo có xu hướng tạo ra cảm giác cấp bách hoặc sợ hãi để thúc đẩy hành động ngay lập tức. Họ có thể cho rằng tài khoản của bạn bị tạm ngưng hoặc bạn sẽ phải đối mặt với hậu quả nếu không hành động nhanh chóng.
    • Yêu cầu bất thường về thông tin cá nhân : Hãy thận trọng với các email yêu cầu thông tin nhạy cảm như mật khẩu, số An sinh xã hội hoặc chi tiết thẻ tín dụng. Các tổ chức hợp pháp sẽ không yêu cầu thông tin đó qua email.
    • Tệp đính kèm bất thường : Không mở tệp đính kèm từ người gửi không xác định. Chúng có thể chứa phần mềm độc hại. Ngay cả khi tệp đính kèm có vẻ quen thuộc, hãy thận trọng nếu nó bất ngờ hoặc thúc giục bạn hành động ngay lập tức.
    • Ưu đãi quá tốt để trở thành sự thật : Email lừa đảo có thể hứa hẹn những phần thưởng, giải thưởng hoặc ưu đãi không thể tin được nhằm dụ bạn nhấp vào liên kết độc hại hoặc cung cấp thông tin cá nhân.
    • Liên kết không mong muốn : Hãy thận trọng với những email có chứa liên kết bất ngờ. Thay vì nhấp vào, hãy nhập thủ công địa chỉ trang web chính thức vào trình duyệt của bạn.
    • Thao túng cảm xúc : Email lừa đảo có thể cố gắng gợi lên những cảm xúc như tò mò, thông cảm hoặc phấn khích để khiến bạn truy cập vào các liên kết hoặc tải xuống tệp đính kèm.
    • Thiếu thông tin liên hệ : Các tổ chức hợp pháp thường cung cấp thông tin liên hệ. Nếu một email thiếu thông tin này hoặc chỉ cung cấp địa chỉ email chung chung, hãy thận trọng.

Luôn cảnh giác và tự tìm hiểu về những dấu hiệu nguy hiểm này có thể giúp ích rất nhiều trong việc bảo vệ bạn khỏi các nỗ lực lừa đảo. Nếu bạn nhận được một email gây nghi ngờ, tốt hơn hết bạn nên xác minh tính hợp pháp của nó thông qua các kênh chính thức trước khi thực hiện bất kỳ hành động nào.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...