English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Caricatore DarkGate distribuito tramite thread di posta elettronica rubati
Aug 02, 2023La ricerca ha rivelato un'elevata attività di malspam del malware DarkGate distribuito tramite e-mail di phishing agli utenti tramite file MSI o payload di script VB.
Il malware Darkgate è attivo dal 2018 e ha la capacità di scaricare ed eseguire file in memoria, un modulo HVNC (Hidden Virtual Network Computing), keylogging, funzionalità di furto di informazioni ed escalation dei privilegi.
Un utente RastaFarEye ha pubblicizzato DarkGate Loader su xss[.]è un exploit[.]nei forum sulla criminalità informatica dal 16 giugno 2023, con diversi modelli di prezzo.
"L'attuale picco nell'attività del malware DarkGate è plausibile dato il fatto che lo sviluppatore del malware ha recentemente iniziato ad affittare il malware a un numero limitato di affiliati", ha affermato Telekom Security.
Inizialmente le e-mail di phishing distribuivano il payload con la variante MSI o con la variante VBScript.
L'attacco inizia facendo clic sull'URL di phishing che reindirizza l'utente al sito di phishing tramite un sistema di distribuzione del traffico (TDS).
Successivamente verrà scaricato il file MSI che esegue lo script AutoIt per eseguire uno shellcode che funge da condotto per decriptare e lanciare DarkGate tramite un crypter (o loader).
Mentre il payload di Visual Basic Script utilizza cURL per recuperare l'eseguibile AutoIt e il file di script per eseguire il malware.
Una volta inizializzata con successo il malware darkgate, il malware scriverà una copia di se stesso sul disco e creerà una chiave di esecuzione del registro per persistere l'esecuzione tra un riavvio e l'altro.
Può anche terminare il processo quando viene rilevato dall'AV e ne altera il comportamento in base al noto prodotto AV.
Il malware può interrogare diverse fonti di dati per ottenere informazioni sul sistema operativo, sull'utente registrato, sui programmi attualmente in esecuzione e altro.
Il malware utilizza diversi strumenti freeware legittimi pubblicati da Nirsoft per estrarre dati riservati.
Il malware interroga periodicamente il server C2 per nuove istruzioni, esegue i comandi ricevuti e infine invia i risultati al server C2.
Tieniti informato sulle ultime novità sulla sicurezza informatica seguendoci su Google News, Linkedin, Twitter e Facebook.
Salva il mio nome, email e sito web in questo browser per la prossima volta che commento.
Esecuzione dell'attaccoCIOTieniti informato sulle ultime novità sulla sicurezza informatica seguendoci su Google News, Linkedin, Twitter e Facebook.