Οι ερευνητές της Palo Alto μοιράστηκαν λεπτομέρειες σχετικά με μια εκστρατεία κακόβουλου λογισμικού (malware) DarkGate από τον Μάρτιο-Απρίλιο του 2024.
Οι παράγοντες απειλής χρησιμοποίησαν αρχεία Microsoft Excel για να κατεβάσουν ένα πακέτο κακόβουλου λογισμικού από δημόσια προσβάσιμα κοινόχρηστα αρχεία SMB.
Οι ερευνητές σημείωσαν ότι οι φορείς απειλής εκμεταλλεύτηκαν δημιουργικά νόμιμα εργαλεία και υπηρεσίες για να διανείμουν το κακόβουλο λογισμικό τους. Το DarkGate RAT, γραμμένο σε Borland Delphi, είναι διαθέσιμο στο οικοσύστημα του κυβερνοεγκλήματος ως μοντέλο malware-as-a-service (MaaS). Το κακόβουλο λογισμικό θεωρείται εξελιγμένη απειλή και βελτιώνεται συνεχώς.
Δείτε περισσότερα: Το DarkGate Malware αντικαθιστά το AutoIt με το AutoHotkey
Το DarkGate, ενεργό τουλάχιστον από το 2018, υποστηρίζει διάφορες λειτουργίες, όπως ένεση διεργασίας, λήψη και εκτέλεση αρχείων, κλοπή πληροφοριών, εκτέλεση εντολών κελύφους και δυνατότητες καταγραφής πληκτρολογίων. Το κακόβουλο ωφέλιμο φορτίο χρησιμοποιεί επίσης πολλαπλές τεχνικές αποφυγής.
Φορείς απειλής με οικονομικά κίνητρα χρησιμοποίησαν το κακόβουλο λογισμικό σε επιθέσεις εναντίον οργανισμών σε ολόκληρη τη Βόρεια Αμερική, την Ευρώπη, την Ασία και την Αφρική. Η Μονάδα 42 παρατήρησε αύξηση της δραστηριότητας του DarkGate μετά τη διακοπή της υποδομής Qakbot τον Αύγουστο του 2023.
Τον Μάρτιο του 2024, η συμμορία DarkGate ξεκίνησαν μια κακόβουλη εκστρατεία χρησιμοποιώντας αρχεία Microsoft Excel, στοχεύοντας αρχικά στη Βόρεια Αμερική, αλλά σταδιακά εξαπλώθηκαν στην Ευρώπη και την Ασία. Η δραστηριότητα κορυφώθηκε στις 9 Απριλίου 2024, με σχεδόν 2.000 δείγματα που ανιχνεύθηκαν σε μια μέρα.
Με το άνοιγμα του αρχείου .xlsx, εμφανίζεται στους παραλήπτες ένα πρότυπο που περιέχει ένα συνδεδεμένο αντικείμενο για το κουμπί Άνοιγμα. Όταν ένας χρήστης κάνει κλικ στο αντικείμενο υπερσύνδεσης για το κουμπί Άνοιγμα, ανακτά και εκτελεί περιεχόμενο από μια διεύθυνση URL που οδηγεί σε ένα κοινόχρηστο στοιχείο Samba/SMB, το οποίο είναι δημόσια προσβάσιμο και φιλοξενεί ένα αρχείο VBS.
Διαβάστε επίσης: Το DarkGate malware εκμεταλλεύεται ελάττωμα της Microsoft
Οι ερευνητές παρατήρησαν επίσης χάκερς να διανέμουν αρχεία JavaScript από κοινόχρηστα στοιχεία Samba. Το αρχείο EXCEL_OPEN_DOCUMENT.vbs περιέχει μεγάλη ποσότητα ανεπιθύμητου κώδικα που σχετίζεται με προγράμματα οδήγησης εκτυπωτή, ωστόσο ανακτά και εκτελεί μια δέσμη ενεργειών PowerShell που κατεβάζει ένα πακέτο DarkGate βασισμένο σε AutoHotKey.
Το test.txt εκτελείται από τη μνήμη του συστήματος, αυτό το τελικό δυαδικό DarkGate είναι γνωστό για τους πολύπλοκους μηχανισμούς του για την αποφυγή εντοπισμού και ανάλυσης κακόβουλου λογισμικού,” διαβάζει η έκθεση. Μία από τις τεχνικές αντι-ανάλυσης που χρησιμοποιεί το DarkGate είναι η αναγνώριση της CPU του στοχευμένου συστήματος. Αυτό μπορεί να αποκαλύψει εάν η απειλή εκτελείται σε εικονικό περιβάλλον ή σε φυσικό κεντρικό υπολογιστή, επιτρέποντας στο DarkGate να σταματήσει τις λειτουργίες του για να αποφύγει την ανάλυση σε ελεγχόμενο περιβάλλον.”
Το DarkGate αναλύει επίσης τις διεργασίες που εκτελούνται στα μολυσμένα συστήματα για να ελέγξει την παρουσία εργαλείων ανάλυσης ή λογισμικού εικονικοποίησης.
Το DarkGate χρησιμοποιεί μη κρυπτογραφημένα αιτήματα HTTP για να επικοινωνεί με τους C2 servers και τα δεδομένα είναι ασαφή και μοιάζουν με κείμενο κωδικοποιημένο από το Base64.
“Οι καμπάνιες που χρησιμοποιούν αυτό το κακόβουλο λογισμικό παρουσιάζουν προηγμένες τεχνικές μόλυνσης, αξιοποιώντας τόσο στρατηγικές phishing όσο και προσεγγίσεις όπως η εκμετάλλευση κοινών στοιχείων Samba που είναι προσβάσιμα στο κοινό,” ολοκληρώνει την έκθεση που περιλαμβάνει και τους δείκτες συμβιβασμού.
Δείτε ακόμη: Ευπάθεια SmartScreen χρησιμοποιείται για τη διανομή του DarkGate malware
“Καθώς το DarkGate συνεχίζει να εξελίσσεται και να βελτιώνει τις μεθόδους infiltration και resistance στην ανάλυσή του, παραμένει μια ισχυρή υπενθύμιση της ανάγκης για ισχυρές και προληπτικές άμυνες κυβερνοασφάλειας.”
Πηγή: securityaffairs
 DarkGate από τον Μάρτιο-Απρίλιο του 2024.){kind=link}