Οι κυβερνοεπιθέσεις που περιλαμβάνουν το malware (κακόβουλο λογισμικό) DarkGate ως υπηρεσία (MaaS) έχουν μεταβεί από την χρήση σεναρίων AutoIt σε έναν μηχανισμό AutoHotkey.
Αυτή η αλλαγή υπογραμμίζει τις συνεχείς προσπάθειες των απειλητικών παραγόντων να παραμένουν μπροστά από τις τεχνολογίες ανίχνευσης.
Δείτε επίσης: Το Dora RAT Malware στοχεύει ινστιτούτα της Νότιας Κορέας
Στην έκδοση 6 του DarkGate, που κυκλοφόρησε τον Μάρτιο του 2024 από τον προγραμματιστή RastaFarEye, παρατηρήθηκαν σημαντικές ενημερώσεις. Ο προγραμματιστής πούλησε το πρόγραμμα με συνδρομή σε έως και 30 πελάτες. Το κακόβουλο λογισμικό δραστηριοποιείται τουλάχιστον από το 2018.
Ένα πλήρως εξοπλισμένο εργαλείο απομακρυσμένης πρόσβασης (RAT), το DarkGate διαθέτει δυνατότητες εντολών και ελέγχου (C2) καθώς και δυνατότητες rootkit. Περιλαμβάνει επίσης διάφορες μονάδες για κλοπή διαπιστευτηρίων, καταγραφή πλήκτρων, λήψη στιγμιότυπων οθόνης και απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας.
«Οι καμπάνιες DarkGate προσαρμόζονται πολύ γρήγορα, τροποποιώντας διάφορα στοιχεία για να αποφύγουν τις λύσεις ασφαλείας», δήλωσε ο ερευνητής ασφαλείας της Trellix, Ernesto Fernández Provecho, στην ανάλυση της Δευτέρας. «Είναι η πρώτη φορά που εντοπίζουμε το DarkGate να χρησιμοποιεί το AutoHotKey, έναν όχι και τόσο συνηθισμένο διερμηνέα δέσμης ενεργειών, για την εκκίνησή του.»
Αξίζει να σημειωθεί ότι η μετάβαση του DarkGate στο AutoHotKey τεκμηριώθηκε για πρώτη φορά από τα εργαστήρια McAfee στα τέλη Απριλίου 2024. Οι αλυσίδες επιθέσεων εκμεταλλεύονται ελαττώματα ασφαλείας όπως τα CVE-2023-36025 και CVE-2024-21412, προκειμένου να παρακάμψουν τις προστασίες του Microsoft Defender SmartScreen ή ένα συνημμένο HTML σε μήνυμα ηλεκτρονικού ψαρέματος στο Microsoft Excel.
Δείτε ακόμη: Γιατί τα εισερχόμενά σας εξακολουθούν να αποτυγχάνουν στον αποτελεσματικό αποκλεισμό του malware;
Εναλλακτικές μέθοδοι έχουν αναπτυχθεί για τη χρήση αρχείων Excel με ενσωματωμένες μακροεντολές, ως μέσο για την εκτέλεση ενός αρχείου δέσμης ενεργειών της Visual Basic. Αυτό το αρχείο εκτελεί εντολές PowerShell για την τελική εκκίνηση ενός σεναρίου AutoHotKey, το οποίο ανακτά και αποκωδικοποιεί το ωφέλιμο φορτίο DarkGate από ένα αρχείο κειμένου.
Η τελευταία έκδοση του DarkGate φέρνει σημαντικές αναβαθμίσεις στη διαμόρφωση, τις τεχνικές αποφυγής και τη λίστα υποστηριζόμενων εντολών. Πλέον περιλαμβάνει λειτουργίες εγγραφής ήχου, ελέγχου ποντικιού και διαχείρισης πληκτρολογίου, προσφέροντας μια πιο ολοκληρωμένη και αποτελεσματική εμπειρία χρήσης.
«Η έκδοση 6 όχι μόνο προσφέρει νέες εντολές, αλλά επίσης αφαιρεί κάποιες από προηγούμενες εκδόσεις, όπως η κλιμάκωση των προνομίων, η κρυπτονομία και οι hVNC (Hidden Virtual Network Computing)», δήλωσε ο Fernández Provecho. Πρόσθεσε ότι αυτό μπορεί να είναι μια προσπάθεια να αφαιρεθούν λειτουργίες που θα μπορούσαν να επιτρέψουν την ανίχνευση.
Επίσης, δεδομένου ότι το DarkGate πωλείται σε μια περιορισμένη ομάδα ανθρώπων, είναι πιθανό οι πελάτες να μην ενδιαφέρονται για αυτά τα χαρακτηριστικά, αναγκάζοντας το RastaFarEye να τα αφαιρέσει.
Η αποκάλυψη έγινε όταν εντοπίστηκαν εγκληματίες του κυβερνοχώρου να εκμεταλλεύονται την Docusign, πουλώντας νόμιμα πρότυπα phishing σε dark φόρουμ. Αυτή η πρακτική μετατρέπει την υπηρεσία σε ιδανικό μέσο για phishers που επιθυμούν να κλέψουν διαπιστευτήρια για phishing και να πραγματοποιήσουν επιχειρηματικές απάτες συμβιβασμού email (BEC).
Διαβάστε ακόμη: LightSpy malware: Νέα στοιχεία για τη macOS έκδοση
«Αυτά τα παραπλανητικά phishing emails, σχεδιασμένα να μιμούνται νόμιμα αιτήματα υπογραφής εγγράφων, παρασύρουν ανυποψίαστους παραλήπτες να κάνουν κλικ σε κακόβουλους συνδέσμους ή να αποκαλύψουν ευαίσθητες πληροφορίες», ανέφερε η Abnormal Security.
Πηγή: thehackernews
 DarkGate ως υπηρεσία (MaaS) έχουν μεταβεί από την χρήση σεναρίων AutoIt σε έναν μηχανισμό AutoHotkey.){kind=link}