歐洲使用者受到“黑暗之門(Darkgate)”惡意軟體威脅
終端安全平臺Ensilo近日發現歐洲的Windows使用者成為一個複雜惡意軟體活動的獵物目標,該活動為攻擊者提供了各種各樣的功能(加密,憑證竊取,勒索軟體和遠端訪問接管)。
惡意軟體被其開發者命名為DarkGate,它通過偽裝成流行娛樂產品(如西班牙籃球界的Campeones、《行屍走肉》電視劇)的Torrent檔案進行傳播。但這些檔案被下載後實際在下載裝置上執行惡意VBscripts。被感染後,第一個惡意軟體與C2伺服器的互動將啟動挖掘過程,從那時起,DarkGate有可能進行進一步攻擊。
根據研究人員的跟蹤觀察,該活動的目標使用者範圍主要集中在西班牙和法國,研究員Adi Zeligson於2017年12月27日發現了該威脅,他認為DarkGate似乎與密碼竊取器Golroted密切相關。
DarkGate的密碼竊取元件使用NirSoft工具竊取使用者憑據,瀏覽器cookie,瀏覽器歷史記錄和Skype聊天記錄。不過研究人員Zeligson和Rotem Kerner發現,攻擊者似乎顯然更青睞加密貨幣憑證。
除了它的多功能性之外,DarkGate“亮點”是它實現了程序挖空的行為——將合法程序載入到系統上,將其用作隱藏惡意程式碼的“掩護”。為了實現這一目的,DarkGate還濫用了程序vbc.exe或regasm.exe。此外,DarkGate還利用UAC(使用者帳戶控制)繞過功能來提升其許可權。
DarkGate的另一個顯著特點是其人性化的“反應式”C2基礎設施由真人構成。研究人員指出,這些運營者“根據收到加密錢包的新感染通知採取行動”。同時,當運營者檢測到任何有趣的活動時……然後他們繼續在[被感染的]機器上安裝自定義遠端訪問工具以進行手動操作。
為了隱藏這些特殊的C2基礎設施,DarkGate對其惡意伺服器(包括Akamai CDN或AWS)進行了偽裝。他們還通過監控通常在沙箱或虛擬機器環境中發現的情況,以及檢查是否存在特定的AV解決方案,來避免被檢測發現。
Ensilo平臺對媒體表示,他們認為攻擊者的目標是可以從中獲得最大化金錢利益的個人或者組織,因此他們更願意選擇有價值的目標,如擁有重要計算資源的組織。