Загрузчик DarkGate доставлен через украденные цепочки электронных писем

Aug 02, 2023

Исследование выявило высокую спам-активность вредоносного ПО DarkGate, распространяемого пользователям через фишинговые электронные письма либо через файлы MSI, либо через полезные нагрузки скриптов VB.

Вредоносное ПО Darkgate активно с 2018 года и имеет возможность загружать и выполнять файлы в память, модуль Hidden Virtual Network Computing (HVNC), кейлоггинг, возможности кражи информации и повышение привилегий.

Пользователь RastaFarEye рекламировал DarkGate Loader на сайте xss[.]является эксплойтом[.] на форумах по киберпреступности с 16 июня 2023 года, используя различные модели ценообразования.

«Нынешний всплеск активности вредоносного ПО DarkGate вполне правдоподобен, учитывая тот факт, что разработчик вредоносного ПО недавно начал сдавать его в аренду ограниченному числу филиалов», — заявили в Telekom Security.

Первоначально фишинговые электронные письма распространяли полезную нагрузку либо с вариантом MSI, либо с вариантом VBScript.

Атака начинается с нажатия на фишинговый URL-адрес, который перенаправляет пользователя на фишинговый сайт через систему распределения трафика (TDS).

Впоследствии будет загружен файл MSI, который выполняет сценарий AutoIt для выполнения шелл-кода, который действует как канал для расшифровки и запуска DarkGate через шифровальщик (или загрузчик).

В то время как полезная нагрузка Visual Basic Script использует cURL для получения исполняемого файла AutoIt и файла сценария для запуска вредоносного ПО.

При успешной инициализации вредоносного ПО Darkgate оно записывает свою копию на диск и создает ключ запуска в реестре для сохранения выполнения между перезагрузками.

Он также может завершить процесс, когда он будет обнаружен AV, и изменить его поведение в соответствии с известным AV-продуктом.

Вредоносное ПО может запрашивать различные источники данных для получения информации об операционной системе, вошедшем в систему пользователе, запущенных в данный момент программах и других вещах.

Вредоносная программа использует несколько законных бесплатных инструментов, опубликованных Nirsoft, для извлечения конфиденциальных данных.

Вредоносная программа периодически опрашивает сервер C2 на наличие новых инструкций, выполняет полученные команды и, наконец, отправляет результаты обратно на сервер C2.

Будьте в курсе последних новостей о кибербезопасности, подписавшись на нас в Новостях Google, Linkedin, Twitter и Facebook.

Сохраните мое имя, адрес электронной почты и веб-сайт в этом браузере, чтобы я мог оставить комментарий в следующий раз.