DarkGate 惡意軟件
利用名為 DarkGate 的現成惡意軟件的惡意垃圾郵件活動已被曝光。網絡安全研究人員認為,DarkGate 惡意軟件活動的增加可能是由於惡意軟件開發商最近決定將其出租給特定的網絡犯罪合作夥伴群體。這種威脅的部署還與大規模活動有關,該活動利用受損的電子郵件線程來欺騙收件人在不知不覺中下載惡意軟件。
目錄
DarkGate 惡意軟件通過多階段攻擊過程傳播
該攻擊通過引誘受害者訪問網絡釣魚 URL 來啟動,點擊該 URL 後,該 URL 將通過流量引導系統 (TDS)。其目標是在某些特定條件下將毫無戒心的受害者引導至 MSI 有效負載。這些條件之一是 HTTP 響應中存在刷新標頭。
打開 MSI 文件後,會觸發一個多階段過程。此過程涉及利用 AutoIt 腳本執行 shellcode,這是通過加密程序或加載程序解密和啟動 DarkGate 威脅的一種手段。更準確地說,加載程序被編程為分析 AutoIt 腳本並從中提取加密的有效負載。
還觀察到了這些攻擊的替代版本。使用 Visual Basic 腳本代替 MSI 文件,該腳本使用 cURL 來檢索 AutoIt 可執行文件和腳本文件。目前尚不清楚用於交付 VB 腳本的確切方法。
DarkGate 可以對被入侵的設備執行許多有害操作
DarkGate 擁有一系列功能,使其能夠逃避安全軟件的檢測、通過 Windows 註冊表修改建立持久性、提升權限以及從 Web 瀏覽器和 Discord 和 FileZilla 等軟件平台竊取數據。
此外,它還與命令與控制(C2)服務器建立通信,從而實現文件枚舉、數據提取、啟動加密貨幣挖掘操作、遠程屏幕截圖捕獲以及執行各種命令等操作。
這種威脅主要通過訂閱模式在地下論壇上進行營銷。提供的價格點各不相同,從每天 1,000 美元到每月 15,000 美元不等,甚至每年高達 100,000 美元。該惡意軟件的創建者將其宣傳為“滲透測試者/紅隊成員的終極工具”,並強調了其據稱在其他地方找不到的獨特功能。有趣的是,網絡安全研究人員發現 DarkGate 的早期版本還包含勒索軟件模塊。
不要被網絡釣魚攻擊中使用的技巧所欺騙
網絡釣魚攻擊是各種惡意軟件威脅(包括竊取者、木馬和惡意軟件加載程序)的主要傳播途徑。識別此類網絡釣魚嘗試對於保持安全並避免您的設備面臨任何危險的安全或隱私風險至關重要。以下是一些需要注意的典型危險信號:
- 可疑發件人地址:仔細檢查發件人的電子郵件地址。如果它包含拼寫錯誤、多餘字符或與其聲稱來自的組織的官方域名不匹配,請務必小心。
- 未指定的問候語:網絡釣魚電子郵件通常使用“尊敬的用戶”等通用問候語,而不是直呼您的名字。合法組織通常會個性化他們的溝通。
- 緊急或威脅性語言:網絡釣魚電子郵件往往會產生一種緊迫感或恐懼感,促使人們立即採取行動。他們可能會聲稱您的帳戶已被暫停,否則您將面臨後果,除非您迅速採取行動。
- 不尋常的個人信息請求:請謹慎對待要求密碼、社會安全號碼或信用卡詳細信息等敏感信息的電子郵件。合法組織不會通過電子郵件索要此類信息。
- 異常附件:不要打開來自未知發件人的附件。它們可能包含惡意軟件。即使附件看起來很熟悉,如果它是意外的或敦促您立即採取行動,也要小心。
- 好得令人難以置信的優惠:網絡釣魚電子郵件可能承諾令人難以置信的獎勵、獎品或優惠,旨在引誘您點擊惡意鏈接或提供個人信息。
- 意外鏈接:警惕意外包含鏈接的電子郵件。不要點擊,而是在瀏覽器中手動輸入官方網站的地址。
- 情緒操縱:網絡釣魚電子郵件可能會試圖喚起好奇、同情或興奮等情緒,讓您訪問鏈接或下載附件。
- 缺乏聯繫信息:合法組織通常會提供聯繫信息。如果電子郵件缺少此信息或僅提供通用電子郵件地址,請務必小心。
保持警惕並了解這些危險信號可以大大有助於保護自己免受網絡釣魚嘗試。如果您收到引起懷疑的電子郵件,最好在採取任何行動之前通過官方渠道驗證其合法性。
