DarkGate 恶意软件
利用名为 DarkGate 的现成恶意软件的恶意垃圾邮件活动已被曝光。网络安全研究人员认为,DarkGate 恶意软件活动的增加可能是由于恶意软件开发商最近决定将其出租给特定的网络犯罪合作伙伴群体。这种威胁的部署还与大规模活动有关,该活动利用受损的电子邮件线程来欺骗收件人在不知不觉中下载恶意软件。
目录
DarkGate 恶意软件通过多阶段攻击过程传播
该攻击通过引诱受害者访问网络钓鱼 URL 来启动,点击该 URL 后,该 URL 将通过流量引导系统 (TDS)。其目标是在某些特定条件下将毫无戒心的受害者引导至 MSI 有效负载。这些条件之一是 HTTP 响应中存在刷新标头。
打开 MSI 文件后,会触发一个多阶段过程。此过程涉及利用 AutoIt 脚本执行 shellcode,这是通过加密程序或加载程序解密和启动 DarkGate 威胁的一种手段。更准确地说,加载程序被编程为分析 AutoIt 脚本并从中提取加密的有效负载。
还观察到了这些攻击的替代版本。使用 Visual Basic 脚本代替 MSI 文件,该脚本使用 cURL 来检索 AutoIt 可执行文件和脚本文件。目前尚不清楚用于交付 VB 脚本的确切方法。
DarkGate 可以对被入侵的设备执行许多有害操作
DarkGate 拥有一系列功能,使其能够逃避安全软件的检测、通过 Windows 注册表修改建立持久性、提升权限以及从 Web 浏览器和 Discord 和 FileZilla 等软件平台窃取数据。
此外,它还与命令与控制(C2)服务器建立通信,从而实现文件枚举、数据提取、启动加密货币挖掘操作、远程屏幕截图捕获以及执行各种命令等操作。
这种威胁主要通过订阅模式在地下论坛上进行营销。提供的价格点各不相同,从每天 1,000 美元到每月 15,000 美元不等,甚至每年高达 100,000 美元。该恶意软件的创建者将其宣传为“渗透测试者/红队成员的终极工具”,并强调了其据称在其他地方找不到的独特功能。有趣的是,网络安全研究人员发现 DarkGate 的早期版本还包含勒索软件模块。
不要被网络钓鱼攻击中使用的技巧所欺骗
网络钓鱼攻击是各种恶意软件威胁(包括窃取者、木马和恶意软件加载程序)的主要传播途径。识别此类网络钓鱼尝试对于保持安全并避免您的设备面临任何危险的安全或隐私风险至关重要。以下是一些需要注意的典型危险信号:
- 可疑发件人地址:仔细检查发件人的电子邮件地址。如果它包含拼写错误、多余字符或与其声称来自的组织的官方域名不匹配,请务必小心。
- 未指定的问候语:网络钓鱼电子邮件通常使用“尊敬的用户”等通用问候语,而不是直呼您的名字。合法组织通常会个性化他们的沟通。
- 紧急或威胁性语言:网络钓鱼电子邮件往往会产生一种紧迫感或恐惧感,促使人们立即采取行动。他们可能会声称您的帐户已被暂停,否则您将面临后果,除非您迅速采取行动。
- 不寻常的个人信息请求:请谨慎对待要求密码、社会安全号码或信用卡详细信息等敏感信息的电子邮件。合法组织不会通过电子邮件索要此类信息。
- 异常附件:不要打开来自未知发件人的附件。它们可能包含恶意软件。即使附件看起来很熟悉,如果它是意外的或敦促您立即采取行动,也要小心。
- 好得令人难以置信的优惠:网络钓鱼电子邮件可能承诺令人难以置信的奖励、奖品或优惠,旨在引诱您点击恶意链接或提供个人信息。
- 意外链接:警惕意外包含链接的电子邮件。不要点击,而是在浏览器中手动输入官方网站的地址。
- 情绪操纵:网络钓鱼电子邮件可能会试图唤起好奇、同情或兴奋等情绪,让您访问链接或下载附件。
- 缺乏联系信息:合法组织通常会提供联系信息。如果电子邮件缺少此信息或仅提供通用电子邮件地址,请务必小心。
保持警惕并了解这些危险信号可以大大有助于保护自己免受网络钓鱼尝试。如果您收到引起怀疑的电子邮件,最好在采取任何行动之前通过官方渠道验证其合法性。
