Уязвимости в программном обеспечении Microsoft стали лазейкой для новой версии трояна.
Вредоносная программа DarkGate, распространяемая по модели MaaS (Malware-as-a-Service), изменила метод доставки финальных этапов, перейдя от скриптов AutoIt к механизму AutoHotkey. Эта смена подчёркивает стремление киберпреступников постоянно опережать системы обнаружения угроз.
Наблюдения показали, что обновления появились в DarkGate версии 6, выпущенной в марте 2024 года разработчиком по имени RastaFarEye. Программа активно продаётся по подписке и используется примерно 30 клиентами.
Вредонос DarkGate известен с 2018 года и является полнофункциональным трояном удалённого доступа (RAT), оснащённым C2 и руткит возможностями. Программа включает модули для кражи учётных данных, кейлоггинга, захвата экрана и удалённого рабочего стола.
«Кампании DarkGate быстро адаптируются, модифицируя различные компоненты, чтобы избегать обнаружения системами безопасности», — отметил исследователь безопасности Trellix в своём анализе. «Это первый случай, когда мы обнаружили использование AutoHotkey для запуска DarkGate».
Переход на AutoHotkey впервые задокументирован McAfee Labs в конце апреля 2024 года. Атаки используют уязвимости, такие как CVE-2023-36025 и CVE-2024-21412, чтобы обойти защиту Microsoft Defender SmartScreen, применяя Microsoft Excel или HTML-вложения в фишинговых письмах.
Альтернативные методы используют Excel-файлы со встроенными макросами для выполнения Visual Basic Script, который вызывает PowerShell-команды, в конечном итоге запускающие скрипт AutoHotkey. Этот скрипт загружает и декодирует полезную нагрузку DarkGate из текстового файла.
Новая версия DarkGate включает значительные улучшения конфигурации, техник уклонения и доступных команд. Теперь она поддерживает функции записи звука, управления мышью и клавиатурой.
«Версия 6 не только добавила новые команды, но и убрала некоторые из предыдущих версий, такие как повышение привилегий, криптомайнинг и скрытое виртуальное сетевое управление (hVNC)», — добавили в Trellix, предположив, что это может быть сделано для сокращения функций, способных вызвать обнаружение.
Также стоит отметить, что DarkGate продаётся ограниченному числу клиентов, что и могло повлиять на решение RastaFarEye об удалении некоторых функций.
Таким образом, недавнее изменение функционала DarkGate демонстрирует стремление авторов вредоноса к инновациям и повышению эффективности своих атак, подчёркивая необходимость постоянного мониторинга и быстрого реагирования со стороны отрасли кибербезопасности для защиты от новых изощренных угроз.
Ладно, не доказали. Но мы работаем над этим