DarkGate ローダーは盗まれた電子メール スレッドを通じて配信される

Aug 02, 2023

この調査により、MSI ファイルまたは VB スクリプト ペイロードを介してユーザーにフィッシングメールを介して配布された DarkGate マルウェアのマルスパム活動が活発であることが明らかになりました。

Darkgate マルウェアは 2018 年から活動を開始しており、ファイルをメモリにダウンロードして実行する機能、Hidden Virtual Network Computing (HVNC) モジュール、キーロギング、情報窃取機能、特権昇格機能を備えています。

ユーザー RastaFarEye は、2023 年 6 月 16 日以来、サイバー犯罪フォーラムの x​​ss[.] はエクスプロイト[.] で DarkGate Loader をさまざまな価格モデルで宣伝しています。

「現在、DarkGate マルウェアの活動が急増しているのは、このマルウェアの開発者が最近、限られた数の関連会社にマルウェアを貸し出し始めているという事実を考えると、もっともらしいことです」と Telekom Security は述べています。

当初、フィッシングメールは MSI 亜種または VBScript 亜種のペイロードを配布していました。

攻撃は、トラフィック配信システム (TDS) を介してユーザーをフィッシング サイトにリダイレクトするフィッシング URL をクリックすることから始まります。

その後、MSI ファイルがダウンロードされ、AutoIt スクリプトが実行され、クリプター (またはローダー) を介して DarkGate を復号化して起動するための導管として機能するシェルコードが実行されます。

一方、Visual Basic Sc​​ript ペイロードは cURL を使用して AutoIt 実行可能ファイルとマルウェアを実行するスクリプト ファイルを取得します。

darkgate マルウェアの初期化が成功すると、マルウェアは自身のコピーをディスクに書き込み、再起動間で実行を継続するためのレジストリ実行キーを作成します。

また、AV によって検出されたときにプロセスを終了し、よく知られた AV 製品に従って動作を変更することもできます。

マルウェアは、さまざまなデータ ソースにクエリを実行して、オペレーティング システム、ログオンしているユーザー、現在実行中のプログラムなどに関する情報を取得します。

このマルウェアは、Nirsoft が公開した複数の正規のフリーウェア ツールを使用して機密データを抽出します。

マルウェアは定期的に C2 サーバーに新しい命令をポーリングし、受信したコマンドを実行し、最終的に結果を C2 サーバーに送り返します。

Google ニュース、Linkedin、Twitter、Facebook をフォローして、最新のサイバー セキュリティ ニュースを入手してください。

次回コメントするときのために、このブラウザに名前、メールアドレス、ウェブサイトを保存してください。