DarkGate-Malware

Eine Malspam-Kampagne, die eine leicht verfügbare Malware namens DarkGate nutzt, wurde ans Licht gebracht. Cybersicherheitsforscher vermuten, dass der Anstieg der DarkGate-Malware-Aktivität wahrscheinlich auf die jüngste Entscheidung des Malware-Entwicklers zurückzuführen ist, die Malware einer ausgewählten Gruppe cyberkrimineller Partner zur Miete anzubieten. Der Einsatz dieser Bedrohung wurde auch mit einer groß angelegten Kampagne in Verbindung gebracht, die kompromittierte E-Mail-Threads ausnutzt, um Empfänger dazu zu verleiten, die Malware unwissentlich herunterzuladen.

Die DarkGate-Malware wird über einen mehrstufigen Angriffsprozess übermittelt

Der Angriff wird dadurch eingeleitet, dass das Opfer zu einer Phishing-URL gelockt wird, die beim Anklicken ein Traffic-Direction-System (TDS) durchläuft. Ziel ist es, die ahnungslosen Opfer unter bestimmten Bedingungen zu einer MSI-Nutzlast zu leiten. Eine dieser Bedingungen ist das Vorhandensein eines Refresh-Headers in der HTTP-Antwort.

Beim Öffnen der MSI-Datei wird ein mehrstufiger Prozess ausgelöst. Bei diesem Prozess wird ein AutoIt-Skript zum Ausführen von Shellcode verwendet, der als Mittel zum Entschlüsseln und Starten der DarkGate-Bedrohung über einen Crypter oder Loader dient. Genauer gesagt ist der Loader so programmiert, dass er das AutoIt-Skript analysiert und die verschlüsselte Nutzlast daraus extrahiert.

Es wurde auch eine alternative Version dieser Angriffe beobachtet. Anstelle einer MSI-Datei wird ein Visual Basic-Skript verwendet, das cURL verwendet, um sowohl die ausführbare AutoIt-Datei als auch die Skriptdatei abzurufen. Die genaue Methode zur Bereitstellung des VB-Skripts ist derzeit noch unbekannt.

DarkGate kann auf den angegriffenen Geräten zahlreiche schädliche Aktionen ausführen

DarkGate verfügt über eine Reihe von Funktionen, die es ihm ermöglichen, der Erkennung durch Sicherheitssoftware zu entgehen, durch Änderungen in der Windows-Registrierung Persistenz herzustellen, Berechtigungen zu erhöhen und Daten von Webbrowsern und Softwareplattformen wie Discord und FileZilla zu stehlen.

Darüber hinaus stellt es die Kommunikation mit einem Command-and-Control-Server (C2) her und ermöglicht Aktionen wie Dateiaufzählung, Datenextraktion, Initiierung von Kryptowährungs-Mining-Vorgängen, Remote-Screenshot-Erfassung und Ausführung verschiedener Befehle.

Diese Bedrohung wird hauptsächlich in Untergrundforen im Rahmen eines Abonnementmodells vermarktet. Die angebotenen Preispunkte variieren und reichen von 1.000 US-Dollar pro Tag über 15.000 US-Dollar pro Monat bis hin zu 100.000 US-Dollar pro Jahr. Der Ersteller der Malware bewirbt sie als „ultimatives Tool für Pentester/Red-Teamer“ und hebt ihre exklusiven Funktionen hervor, die angeblich nirgendwo anders zu finden sind. Interessanterweise haben Cybersicherheitsforscher frühere Versionen von DarkGate entdeckt, die auch ein Ransomware-Modul enthielten.

Fallen Sie nicht auf die Tricks von Phishing-Angriffen herein

Phishing-Angriffe sind ein primärer Übertragungsweg für eine Vielzahl von Malware-Bedrohungen, darunter Stealer, Trojaner und Malware-Loader. Das Erkennen solcher Phishing-Versuche ist von entscheidender Bedeutung, um sicher zu bleiben und Ihre Geräte keinen gefährlichen Sicherheits- oder Datenschutzrisiken auszusetzen. Hier sind einige typische Warnsignale, die Sie beachten sollten:

• • Verdächtige Absenderadresse : Überprüfen Sie die E-Mail-Adresse des Absenders sorgfältig. Seien Sie vorsichtig, wenn es Rechtschreibfehler oder zusätzliche Zeichen enthält oder nicht mit der offiziellen Domain der Organisation übereinstimmt, von der es angeblich stammt.

• • Nicht spezifizierte Begrüßungen : Phishing-E-Mails verwenden häufig allgemeine Begrüßungen wie „Sehr geehrter Benutzer“, anstatt Sie mit Ihrem Namen anzusprechen. Seriöse Organisationen personalisieren in der Regel ihre Kommunikation.

• • Dringende oder bedrohliche Sprache : Phishing-E-Mails neigen dazu, ein Gefühl der Dringlichkeit oder Angst zu erzeugen und sofortige Maßnahmen zu veranlassen. Sie könnten behaupten, Ihr Konto sei gesperrt, oder es drohen Ihnen Konsequenzen, wenn Sie nicht schnell handeln.

• • Ungewöhnliche Anfragen nach persönlichen Daten : Seien Sie vorsichtig bei E-Mails, in denen nach vertraulichen Informationen wie Passwörtern, Sozialversicherungsnummern oder Kreditkartendaten gefragt wird. Seriöse Organisationen werden solche Informationen nicht per E-Mail anfordern.

• • Ungewöhnliche Anhänge : Öffnen Sie keine Anhänge von unbekannten Absendern. Sie könnten Schadsoftware enthalten. Auch wenn Ihnen der Anhang bekannt vorkommt, seien Sie vorsichtig, wenn er unerwartet kommt oder Sie zum sofortigen Handeln drängt.

• • Zu schön, um wahr zu sein : Phishing-E-Mails versprechen möglicherweise unglaubliche Belohnungen, Preise oder Angebote, die Sie dazu verleiten sollen, auf bösartige Links zu klicken oder persönliche Informationen preiszugeben.

• • Unerwartete Links : Seien Sie vorsichtig bei E-Mails, die unerwartet Links enthalten. Anstatt zu klicken, geben Sie die Adresse der offiziellen Website manuell in Ihren Browser ein.

• • Emotionale Manipulation : Phishing-E-Mails versuchen möglicherweise, Emotionen wie Neugier, Mitgefühl oder Aufregung hervorzurufen, um Sie zum Zugriff auf Links oder zum Herunterladen von Anhängen zu bewegen.

• • Fehlende Kontaktinformationen : Seriöse Organisationen stellen normalerweise Kontaktinformationen zur Verfügung. Wenn in einer E-Mail diese Informationen fehlen oder nur eine generische E-Mail-Adresse angegeben ist, sollten Sie vorsichtig sein.

Wenn Sie wachsam bleiben und sich über diese Warnsignale informieren, können Sie sich wesentlich vor Phishing-Versuchen schützen. Wenn Sie eine E-Mail erhalten, die Verdacht erregt, ist es besser, die Legitimität über offizielle Kanäle zu überprüfen, bevor Sie Maßnahmen ergreifen.