Специалисты расшифровывают секреты DarkGate 6.6.
Специалисты SonicWall обнаружили новую волну фишинговых атак, распространяющих вредоносное ПО DarkGate. Злоумышленники используют PDF-файлы, маскирующиеся под счета-фактуры, чтобы заразить компьютеры жертв.
Кампания направлена на распространение RAT-трояна DarkGate, который активно используется с 2018 года и распространяется по модели MaaS (Malware-as-a-Service). Новая версия DarkGate 6.6 обладает множеством опасных функций, таких как обход виртуальных машин, антивирусов, задержка выполнения и подмена процессов, что делает версию крайне сложной для обнаружения и устранения.
В рассматриваемой кампании вредоносный PDF-файл выглядит как счет от 26 июня 2024 года и содержит кнопку для скачивания, которая перенаправляет жертву на скомпрометированный сайт для загрузки вредоносного VBScript-файла.
VBScript сильно запутан: имена функций и переменных зашифрованы, а объемные комментарии затрудняют чтение кода. Вредоносное ПО хранит сжатые данные в комментариях в конце VBScript и извлекает их с помощью регулярных выражений. Затем троян запускает скомпилированный скрипт AutoIt3 (AU3), который выполняет дальнейшие команды по загрузке DarkGate.
Вредоносное ПО начинает свою работу с инициализации версии «6.6» и загружает необходимые DLL-библиотеки. Затем DarkGate инициализирует ключи шифрования для дальнейшей работы с данными. Ключи генерируются на основе уникальных идентификаторов системы (ID продукта и имя процессора).
Также DarkGate использует сложные методы обхода антивирусного ПО. Вредоносное ПО проверяет наличие более чем 20 популярных антивирусных программ и меняет своё поведение в зависимости от обнаруженных защитных мер. Если на системе обнаружена конкретная антивирусная программа, DarkGate устанавливает соответствующие флаги и адаптируется для обхода защиты.
В случае обнаружения тестовой среды, например, при наличии файла «c:\temp\test.txt», вредоносное ПО автоматически завершает свою работу, что также может использоваться для предотвращения заражения.
Кроме того, DarkGate собирает и отправляет на командный сервер множество данных с заражённой машины, таких как активное окно, время работы системы, статус администратора и версию DarkGate. Коммуникация с C2-сервером осуществляется через HTTP или HTTPS, в зависимости от настроек.
Для предотвращения обнаружения и анализа, DarkGate использует различные методы шифрования и запутывания кода, что делает его крайне сложным для анализа и устранения. Вредоносное ПО поддерживает выполнение более 65 различных команд, включая запуск дополнительных вредоносных программ, сбор данных и выполнение атак на системе жертвы.
Одна из команд также извлекает записку с требованием выкупа и доставляет полезную нагрузку программы-вымогателя. Записка помещается в каталог «C:\temp», затем запускается двоичный файл программы-вымогателя.
Пользователи должны быть крайне осторожны с получаемыми по электронной почте файлами и всегда проверять подлинность источников, чтобы избежать заражения. Специалисты по кибербезопасности продолжают работать над обнаружением и нейтрализацией подобных угроз.
От классики до авангарда — наука во всех жанрах