ΑρχικήsecurityΑυξάνεται η δραστηριότητα του DarkGate malware

Αυξάνεται η δραστηριότητα του DarkGate malware

Η δραστηριότητα του κακόβουλου λογισμικού DarkGate αυξάνεται καθώς ο προγραμματιστής εκμισθώνει το κακόβουλο λογισμικό σε affiliates.

Έχει εντοπιστεί μια νέα επιθέση malspam που χρησιμοποιεί ένα off-the-shelf malware που ονομάζεται DarkGate.

«Η τρέχουσα άνοδος στη δραστηριότητα κακόβουλου λογισμικού DarkGate είναι εύλογη δεδομένου του γεγονότος ότι ο προγραμματιστής του κακόβουλου λογισμικού άρχισε πρόσφατα να νοικιάζει το κακόβουλο λογισμικό σε περιορισμένο αριθμό affiliate», ανέφερε η Telekom Security σε έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.

Το τελευταίο report βασίζεται σε πρόσφατα ευρήματα από τον ερευνητή ασφαλείας Igal Lytzki, ο οποίος ανέλυσε μια “εκστρατεία υψηλής όγκου” που εκμεταλλεύεται hijacked email threads για να εξαπατήσει τους παραλήπτες να κατεβάσουν το κακόβουλο λογισμικό.

Η επίθεση ξεκινά με ένα phishing URL που, όταν κάνετε κλικ, περνά από ένα σύστημα κατεύθυνσης κυκλοφορίας (TDS) για να πάρει το θύμα σε ένα MSI payload υπό ορισμένες προϋποθέσεις. Αυτό περιλαμβάνει την παρουσία ενός refresh header στο HTTP response.

Το άνοιγμα του αρχείου MSI ενεργοποιεί μια πολυσταδιακή διαδικασία που ενσωματώνει ένα AutoIt script για να εκτελέσει shellcode που λειτουργεί ως διάδρομος για να αποκρυπτογραφήσει και να εκκινήσει το DarkGate μέσω ενός κρυπτογράφου (ή φορτωτή).

Πιο συγκεκριμένα, ο loader σχεδιάστηκε για να αναλύει το AutoIt script και να εξάγει το κρυπτογραφημένο δείγμα κακόβουλου λογισμικού.

Έχει παρατηρηθεί μια εναλλακτική παραλλαγή των επιθέσεων που χρησιμοποιεί ένα Visual Basic Script αντί για ένα αρχείο MSI, το οποίο, από τη σειρά του, χρησιμοποιεί το cURL για να ανακτήσει το εκτελέσιμο αρχείο AutoIt και το script file. Η ακριβής μέθοδος με την οποία παραδίδεται το VB Script είναι αυτήν τη στιγμή άγνωστη.

Το DarkGate πωλείται κυρίως σε υπόγεια φόρουμ από έναν δράστη με το όνομα RastaFarEye και διαθέτει δυνατότητες για αποφυγή ανίχνευσης από λογισμικό ασφαλείας, δημιουργία επιμονής χρησιμοποιώντας αλλαγές στο μητρώο των Windows, αναβάθμιση δικαιωμάτων και κλοπή δεδομένων από περιηγητές ιστού και άλλο λογισμικό, όπως το Discord και το FileZilla.

Επιπλέον, δημιουργεί επαφή με ένα διακομιστή ελέγχου και εντολών (C2) για την απαρίθμηση αρχείων, την εξαγωγή δεδομένων, την εκκίνηση εcryptocurrency miners και την απομακρυσμένη καταγραφή screenshot, καθώς και την εκτέλεση άλλων εντολών.

Το malware προσφέρεται ως συνδρομή που ξεκινά από 1.000 δολάρια ανά ημέρα, φτάνοντας τα 15.000 δολάρια ανά μήνα και τα 100.000 δολάρια ανά έτος. Ο συγγραφέας το προωθεί ως το “απόλυτο εργαλείο για pentesters/redteamers” και υποστηρίζει ότι διαθέτει “χαρακτηριστικά που δεν θα βρείτε πουθενά αλλού”. Ενδιαφέρον παρουσιάζουν και οι προηγούμενες εκδόσεις του DarkGate που είχαν επίσης ενσωματωμένο ένα ransomware module.

Οι επιθέσεις ηλεκτρονικού “ψαρέματος” είναι μια κύρια οδός παράδοσης για stealers, trojans και malware loaders όπως KrakenKeylogger, QakBot, Raccoon Stealer, SmokeLoader και άλλοι, με τους απειλητικούς παράγοντες να προσθέτουν συνεχώς νέες δυνατότητες και βελτιώσεις για να επεκτείνουν τις λειτουργίες τους.

Σύμφωνα με μια πρόσφατη έκθεση που δημοσιεύτηκε από το HP Wolf Security, το email παρέμεινε ο κορυφαίος φορέας για την παράδοση κακόβουλου λογισμικού στα endpoints, αντιπροσωπεύοντας το 79% των απειλών που εντοπίστηκαν το δεύτερο τρίμηνο του 2023.

Πηγή πληροφοριών: thehackernews.com

Teo Ehc
Teo Ehchttps://secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS