Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware DarkIRC Malware

DarkIRC Malware

Von GoldSparrow in Malware
Übersetzen Sie in:
Deutsch

DarkIRC Malware ist eine Bedrohung, die in unterirdischen Hackerforen zum Verkauf angeboten wird. Der angebliche Schöpfer dieser Malware und derjenige, der sie seit August 2020 bewirbt, verwendet den Kontonamen Freak_OG. Laut den Beiträgen ist DarkIRC für 75 US-Dollar erhältlich. Obwohl nicht festgestellt wurde, ob es vom Ersteller der Bedrohung oder einem potenziellen Kunden ausgeführt wird, wurde von Infosec-Forschern eine Angriffskampagne mit DarkIRC entdeckt. Die Hauptziele der Bedrohungskampagne sind exponierte Oracle WebLogic-Server, die trotz des Patches, der das von Oracle im Oktober 2020 veröffentlichte Problem behebt, nicht für die Sicherheitsanfälligkeit CVE-2020-1482 für Remotecode-Ausführung (RCE) gepatcht wurden. Diese Anfäligkeit ist sehr schwerwiegend, da sie ohne Authentifizierung ausgenutzt werden kann, einschließlich Benutzernamen oder Kennwörtern.

Die DarkIRC-Malware verfügt über eine Vielzahl von Bedrohungsfunktionen

Wenn ein nicht gepatchter Oracle WebLogic-Server erkannt wird, wird DarkIRC über eine HTTP-GET-Anforderung darauf übermittelt. Die beschädigte Binärdatei, die auf dem System abgelegt wird, ist mit Gegenmaßnahmen gegen potenzielle Analysen oder die Ausführung in einer Sandbox-Umgebung ausgestattet. Sie beendet ihre Ausführung, wenn eine virtuelle VMware-, VBox-, QEMU-, VirtualBox- oder Xen-Maschine erkannt wird.

Der nächste Angriffsprozess besteht darin, sich selbst in % APDATA% \ Chrome / Chrome.exe zu installieren und dann den Persistenzmechanismus durch Erstellen eines Autorun-Eintrags einzurichten. Jetzt kann DarkIRC seine Vielzahl von Bedrohungsaktivitäten ausführen. Die Bedrohung verfügt über eine Vielzahl verfügbarer Funktionen, da sie zusätzliche Dateien herunterladen, beliebige Befehle ausführen, Anmeldeinformationen sammeln, Keylogging initiieren und DDoS-Angriffe (Distributed Denial of Service) ausführen kann. DarkIRC kann sich auf verschiedene Weise auf andere Systeme und Geräte übertragen:

  • Brute-Force-RDP-Angriffe
  • MSSQL
  • SMB
  • USB

Wenn die Bedrohungsakteure dies wünschen, können sie DarkIRC auch als Bitcoin-Clipper einsetzen. Dies hat zur Folge, dass die Bedrohung in Echtzeit jede Bitcoin-Brieftaschenadresse, die in die Zwischenablage kopiert wurde, durch einen der Hacker ersetzt, was dazu führt, dass die Opfer ihr Geld unwissentlich an den falschen Empfänger senden.

Im Trend

Am häufigsten gesehen

Wird geladen...