Кибератаки, связанные с операцией DarkGate "Вредоносное ПО как услуга" (MaaS), перешли от сценариев AutoIt к механизму AutoHotkey для выполнения последних этапов, подчеркивая постоянные усилия со стороны участников угрозы постоянно опережать время обнаружения.
Обновления были замечены в версии 6 DarkGate, выпущенной в марте 2024 года ее разработчиком RastaFarEye, который продавал программу по подписке целых 30 клиентам. Вредоносная программа активна как минимум с 2018 года.
Полнофункциональный троян удаленного доступа (RAT) DarkGate оснащен функциями командования и контроля (C2) и руткитов, а также включает в себя различные модули для кражи учетных данных, ведения кейлоггинга, захвата экрана и удаленного рабочего стола.
"Кампании DarkGate, как правило, очень быстро адаптируются, модифицируя различные компоненты, чтобы попытаться избежать использования решений безопасности", - сказал исследователь безопасности Trellix Эрнесто Фернандес Провечо в анализе, опубликованном в понедельник. "Мы впервые обнаруживаем, что DarkGate использует AutoHotkey, не очень распространенный интерпретатор сценариев, для запуска DarkGate".
Стоит отметить, что переход DarkGate на AutoHotkey был впервые задокументирован McAfee Labs в конце апреля 2024 года, при этом цепочки атак использовали недостатки безопасности, такие как CVE-2023-36025 и CVE-2024-21412, для обхода защиты Microsoft Defender SmartScreen с использованием Microsoft Excel или HTML-вложения в фишинговых электронных письмах.
Были обнаружены альтернативные методы использования файлов Excel со встроенными макросами в качестве канала для выполнения файла сценария Visual Basic, который отвечает за вызов команд PowerShell для окончательного запуска сценария AutoHotkey, который, в свою очередь, извлекает и декодирует полезную нагрузку DarkGate из текстового файла.
В последней версии DarkGate существенно обновлены ее конфигурация, методы уклонения и список поддерживаемых команд, который теперь включает функции записи звука, управления мышью и клавиатуры.
"Версия 6 не только включает новые команды, но и не содержит некоторых из них из предыдущих версий, таких как повышение привилегий, криптомайнинг или hVNC (скрытые вычисления в виртуальной сети)", - сказал Фернандес Провечо, добавив, что это может быть попытка исключить функции, которые могли бы обеспечить обнаружение.
"Более того, поскольку DarkGate продается небольшой группе людей, также возможно, что клиенты не были заинтересованы в этих функциях, что вынудило RastaFarEye удалить их".
Раскрытие произошло после того, как было обнаружено, что киберпреступники злоупотребляют Docusign, продавая на подпольных форумах легально выглядящие настраиваемые фишинговые шаблоны, превращая сервис в благодатную почву для фишеров, желающих украсть учетные данные для фишинга и мошенничества с компрометацией деловой электронной почты (BEC).
"Эти мошеннические электронные письма, тщательно разработанные для имитации законных запросов на подписание документов, заманивают ничего не подозревающих получателей переходить по вредоносным ссылкам или разглашать конфиденциальную информацию", - заявили в Ann.md.
