Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,511
- Points
- 113
Была замечена новая кампания malspam, в которой внедряется готовое вредоносное ПО под названием DarkGate.
"Текущий всплеск активности вредоносного ПО DarkGate вполне вероятен, учитывая тот факт, что разработчик вредоносного ПО недавно начал сдавать вредоносное ПО в аренду ограниченному числу аффилированных лиц", - говорится в отчете Telekom Security, опубликованном на прошлой неделе.
Последний отчет основан на недавних выводах исследователя безопасности Игала Лички, который подробно описал "масштабную кампанию", использующую взломанные потоки электронной почты, чтобы обманом заставить получателей загрузить вредоносное ПО.
Атака начинается с фишингового URL, который при нажатии проходит через систему управления трафиком (TDS) и при соблюдении определенных условий перенаправляет жертву на полезную нагрузку MSI. Это включает в себя наличие заголовка обновления в HTTP-ответе.
Открытие MSI-файла запускает многоступенчатый процесс, включающий скрипт AutoIt для выполнения шелл-кода, который действует как канал для расшифровки и запуска DarkGate через шифровальщик (или загрузчик).
В частности, загрузчик предназначен для анализа скрипта AutoIt и извлечения зашифрованного образца вредоносного ПО.
Был замечен альтернативный вариант атак с использованием скрипта Visual Basic вместо MSI-файла, который, в свою очередь, использует cURL для извлечения исполняемого файла AutoIt и скрипта. Точный метод, с помощью которого доставляется скрипт VB, в настоящее время неизвестен.
DarkGate, продаваемая в основном на подпольных форумах актером по имени РастаФарЕйе, обладает возможностями уклоняться от обнаружения программами безопасности, настраивать сохраняемость с помощью изменений в реестре Windows, повышать привилегии и красть данные из веб-браузеров и другого программного обеспечения, такого как Discord и FileZilla.
Оно также устанавливает контакт с сервером командования и управления (C2) для перечисления файлов, эксфильтрации данных, запуска майнеров криптовалюты и удаленной съемки скриншотов, а также выполнения других команд.
Вредоносное ПО предлагается в виде подписки стоимостью от 1000 долларов в день до 15 000 долларов в месяц и до 100 000 долларов в год, при этом автор рекламирует его как "идеальный инструмент для пентестеров / redteamers" и что у него есть "функции, которые вы нигде не найдете". Интересно, что более ранние версии DarkGate также оснащались модулем программы-вымогателя.
Фишинговые атаки являются основным способом доставки крадильщиков, троянов и загрузчиков вредоносных программ, таких как KrakenKeylogger, QakBot, Raccoon Stealer, SmokeLoader и других, при этом злоумышленники постоянно добавляют новые функции и усовершенствования для расширения своих функциональных возможностей.
Согласно недавнему отчету, опубликованному HP Wolf Security, электронная почта оставалась основным средством доставки вредоносного ПО на конечные точки, на ее долю приходилось 79% угроз, выявленных во втором квартале 2023 года.
