В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа, которая остается незамеченной для традиционных антивирусов.
Угрозы используются во вредоносной атаке DarkGate – данная хакерская операция была обнаружена на прошлой неделе исследователями безопасности из enSilo.
Команда исследователей, сообщает, что DarkGate активно распространяется в Испании и Франции, заражая компьютеры Windows с помощью торрент-файлов.
В большинстве случаев торрент-файлы связаны с распространением пиратского контента, но сама технология не является запрещенной и может использоваться домашними и корпоративными пользователями для обмена крупными файлами. В данном случае инфицированные торрент-файлы выдают себя за пиратские копии телевизионных передач и сериалов, в том числе сериала «Ходячие мертвецы».
Вредоносное ПО DarkGate использует различные приемы обфускации кода, чтобы предотвратить обнаружение традиционными антивирусными программами. Командно-административная (С2) структура зловреда, которая позволяет операторам удаленно отправлять команды для передачи украденных данных, использует скрытые DNS записи в легитимных сервисах, таких как Akamai CDN и AWS.
За счет маскировки командного центра с помощью надежных DNS-служб вредоносная программа может обходить проверки репутации, которые обычно безошибочно распознают типичные угрозы, применяющие подозрительные службы и хостинг-платформы.
Кроме того, для сокрытия своего присутствия в системе DarkGate использует метод, известный как «Process Hollowing». Данная техника позволяет загружать надежное приложение в замороженном состоянии в качестве контейнера для вредоносного процесса, который в свою очередь может выполнять действия от имени надежной программы.
Угроза DarkGate также проводит ряд проверок, чтобы определить, были ли она загружена в изолированную виртуальную среду, которая применяется исследователями для анализа и распаковки вредоносного ПО. Более того, зловред умеет сканировать систему на предмет установленных антивирусов, в частности продуктов Avast, Bitdefender, Trend Micro и «Лаборатории Касперского».
Вредоносная программа использует также инструменты восстановления, чтобы предотвратить удаление критически важных для проведения атаки файлов.
Эксперты enSilo убеждены, что автор вредоносной программы потратил очень много времени и усилий, чтобы разработать техники защиты от обнаружения и, как показывает их собственное тестирование, «многие антивирусы не смогли обнаружить угрозу».
Во время исполнения, DarkGate использует сразу две техники обхода службы контроля учетных записей, чтобы получить права администратора, скачать и запустить дополнительную полезную нагрузку.
Эти вспомогательные пакеты позволяют DarkGate перехватывать учетные данные, связанные с кошельками для хранения криптовалюты жертв, запускать трояны-шифровальщики, создавать туннели удаленного доступа для операторов с целью взлома системы и выполнять операции майнинга криптовалюты.
enSilo сообщает, что управленческий модуль С2 контролируется отдельными операторами, которые получают уведомления о новых заражениях, связанных с криптокошельками от инструментов удаленного доступа, служащих для кражи цифровых монет.
Исследователи из enSilo опасаются дальнейшего развития угрозы в будущем. Анализ DarkGate показал, что зловред также связан с семейством вредоносных программ для кражи паролей Golroted, которые используют аналогичные техники для обхода службы контроля учетных записей.
Команда enSilo сообщает:
Становится очевидым, что DarkGate постоянно развивается и дорабатывается, и каждая новая версия угрозы получает улучшения. Обычно целью вредоносных программ для скрытого майнинга, вымогательства и кражи криптовалюты является получение финансовой выгоды. В случае с DarkGate до конца не ясно, если ли у автора зловреда другие мотивы. Для определения конечной мотивации вредоносного ПО нужно провести более глубокое исследование.
Индикаторы компрометации IOCS
| Домены (DOMAINS) |
|---|
| akamai.la |
| hardwarenet.cc |
| ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel |
| awsamazon.cc |
| battlenet.la |
| a40-77-229-13.deploy.static.akamaitechnologies.pw |
| Хэш-суммы образцов (SAMPLE HASHES) |
|---|
| 3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b |
| 0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5 |
| 3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b |
| 0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5 |
| 52c47a529e4ddd0778dde84b7f54e1aea326d9f8eeb4ba4961a87835a3d29866 |
| b0542a719c6b2fc575915e9e4c58920cf999ba5c3f5345617818a9dc14a378b4 |
| dadd0ec8806d506137889d7f1595b3b5447c1ea30159432b1952fa9551ecfba5 |
| c88eab30fa03c44b567bcb4e659a60ee0fe5d98664816c70e3b6e8d79169cbea |
| 2264c2f2c2d5a0d6d62c33cadb848305a8fff81cdd79c4d7560021cfb304a121 |
| 3c68facf01aede7bcd8c2aea853324a2e6a0ec8b026d95c7f50a46d77334c2d2 |
| a146f84a0179124d96a707f192f4c06c07690e745cffaef521fcda9633766a44 |
| abc35bb943462312437f0c4275b012e8ec03899ab86d353143d92cbefedd7f9d |
| 908f2dfed6c122b46e946fe8839feb9218cb095f180f86c43659448e2f709fc7 |
| 3491bc6df27858257db26b913da8c35c83a0e48cf80de701a45a30a30544706d |
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов