DarkGate恶意软件活动激增

据观察，新的恶意垃圾邮件活动部署了一种名为DarkGate的现成恶意软件。

Telekom Security在上周发布的一份报告中表示：“鉴于该恶意软件的开发者最近开始将恶意软件出租给有限数量的附属机构，因此当前 DarkGate 恶意软件活动的激增是合理的。”

最新报告基于安全研究人员 Igal Lytzki 的最新发现，他详细介绍了一项“大量活动”，该活动利用被劫持的电子邮件线程诱骗收件人下载恶意软件。

攻击从网络钓鱼 URL 开始，点击该 URL 后，该 URL 将通过流量引导系统 ( TDS )，在特定条件下将受害者引导至 MSI 有效负载。这包括 HTTP 响应中存在刷新标头。

打开 MSI 文件会触发一个多阶段过程，其中包含一个 AutoIt 脚本来执行 shellcode，该 shellcode 充当通过加密程序（或加载程序）解密和启动 DarkGate 的管道。

具体来说，加载程序旨在解析 AutoIt 脚本并提取加密的恶意软件样本。

我们观察到攻击的另一种变体是使用 Visual Basic 脚本代替 MSI 文件，该文件又使用 cURL 来检索 AutoIt 可执行文件和脚本文件。目前尚不清楚交付 VB 脚本的确切方法。

DarkGate 主要由名为 RastaFarEye 的演员在地下论坛上销售，它具有逃避安全软件检测、使用 Windows 注册表更改设置持久性、升级权限以及从 Web 浏览器和其他软件（例如 Discord 和 FileZilla）窃取数据的功能。

它还与命令和控制 (C2) 服务器建立联系，用于枚举文件、数据泄露、启动加密货币挖掘程序、远程捕获屏幕截图以及运行其他命令。

该恶意软件以订阅形式提供，价格从每天 1,000 美元到每月 15,000 美元到每年 100,000 美元不等，作者将其宣传为“渗透测试人员/红队人员的终极工具”，并且具有“您在任何地方都找不到的功能” ”。有趣的是，早期版本的 DarkGate 还配备了勒索软件模块。

网络钓鱼攻击是窃取者、木马和恶意软件加载程序（例如KrakenKeylogger、QakBot、Raccoon Stealer、SmokeLoader等）的主要传播途径，威胁行为者不断添加新功能和增强功能以​​扩展其功能。

根据HP Wolf Security最近发布的一份报告，电子邮件仍然是向端点传送恶意软件的首要媒介，占 2023 年第二季度发现的威胁的 79%。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7862.html