Новости DarkGate 6.0: обновлённый RAT прорывает кибероборону, используя AutoHotkey

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Уязвимости в программном обеспечении Microsoft стали лазейкой для новой версии трояна.


kd05bep9030stipwd5y7ce22zuvoq8iz.jpg


Вредоносная программа DarkGate, распространяемая по модели MaaS (Malware-as-a-Service), изменила метод доставки финальных этапов, перейдя от скриптов AutoIt к механизму AutoHotkey. Эта смена подчёркивает стремление киберпреступников постоянно опережать системы обнаружения угроз.

Наблюдения показали, что обновления появились в DarkGate версии 6, выпущенной в марте 2024 года разработчиком по имени RastaFarEye. Программа активно продаётся по подписке и используется примерно 30 клиентами.

Вредонос DarkGate известен с 2018 года и является полнофункциональным трояном удалённого доступа ( RAT ), оснащённым C2 и руткит возможностями. Программа включает модули для кражи учётных данных, кейлоггинга, захвата экрана и удалённого рабочего стола.

«Кампании DarkGate быстро адаптируются, модифицируя различные компоненты, чтобы избегать обнаружения системами безопасности», — Для просмотра ссылки Войди или Зарегистрируйся исследователь безопасности Trellix в своём анализе. «Это первый случай, когда мы обнаружили использование AutoHotkey для запуска DarkGate».

Переход на AutoHotkey Для просмотра ссылки Войди или Зарегистрируйся McAfee Labs в конце апреля 2024 года. Атаки используют уязвимости, такие как Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся чтобы обойти защиту Microsoft Defender SmartScreen, применяя Microsoft Excel или HTML-вложения в фишинговых письмах.

Альтернативные методы используют Excel-файлы со встроенными макросами для выполнения Visual Basic Script, который вызывает PowerShell-команды, в конечном итоге запускающие скрипт AutoHotkey. Этот скрипт загружает и декодирует полезную нагрузку DarkGate из текстового файла.

Новая версия DarkGate включает значительные улучшения конфигурации, техник уклонения и доступных команд. Теперь она поддерживает функции записи звука, управления мышью и клавиатурой.

«Версия 6 не только добавила новые команды, но и убрала некоторые из предыдущих версий, такие как повышение привилегий, криптомайнинг и скрытое виртуальное сетевое управление (hVNC)», — добавили в Trellix, предположив, что это может быть сделано для сокращения функций, способных вызвать обнаружение.

Также стоит отметить, что DarkGate продаётся ограниченному числу клиентов, что и могло повлиять на решение RastaFarEye об удалении некоторых функций.

Таким образом, недавнее изменение функционала DarkGate демонстрирует стремление авторов вредоноса к инновациям и повышению эффективности своих атак, подчёркивая необходимость постоянного мониторинга и быстрого реагирования со стороны отрасли кибербезопасности для защиты от новых изощренных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы