English
Français
Español
Italiano
Português
日本語
한국어
Русский
Rüsten
May 26, 2023Nuh-Gewalt: Tritt die Bestrafung durch Bulldozer die Gerechtigkeit in Indien mit Füßen?
May 27, 2023Arbeitgeber und Vorarbeiter wegen Todesfall am Arbeitsplatz in Burnaby vor 11 Jahren angeklagt
May 28, 2023Wikes Bulldozer dröhnt in Abuja, das erste nicht genehmigte Gebäude wird abgerissen
May 29, 2023Boskalis erweitert seine Offshore-Energieflotte
May 30, 2023DarkGate Loader wurde über gestohlene E-Mail-Threads bereitgestellt
Aug 02, 2023Die Untersuchung ergab eine hohe Malspam-Aktivität von DarkGate-Malware, die über Phishing-E-Mails an Benutzer entweder über MSI-Dateien oder über VBs-Skript-Payloads verteilt wurde.
Darkgate-Malware ist seit 2018 aktiv und verfügt über die Fähigkeit, Dateien herunterzuladen und in den Speicher auszuführen, ein Hidden Virtual Network Computing (HVNC)-Modul, Keylogging, Funktionen zum Informationsdiebstahl und Rechteausweitung.
Ein Benutzer RastaFarEye bewirbt DarkGate Loader seit dem 16. Juni 2023 auf dem xss[.]is an Exploit[.]in Cybercrime-Foren mit unterschiedlichen Preismodellen.
„Der aktuelle Anstieg der DarkGate-Malware-Aktivität ist plausibel, wenn man bedenkt, dass der Entwickler der Malware vor kurzem damit begonnen hat, die Malware an eine begrenzte Anzahl von Partnern zu vermieten“, sagte Telekom Security.
Zunächst verteilten Phishing-E-Mails die Nutzlast entweder mit der MSI-Variante oder der VBScript-Variante.
Der Angriff beginnt mit dem Klicken auf die Phishing-URL, die den Benutzer über ein Traffic Distribution System (TDS) zur Phishing-Site weiterleitet.
Anschließend wird die MSI-Datei heruntergeladen, die das AutoIt-Skript ausführt, um einen Shellcode auszuführen, der als Kanal zum Entschlüsseln und Starten von DarkGate über einen Crypter (oder Loader) fungiert.
Während die Visual Basic Script-Nutzlast cURL verwendet, um die ausführbare AutoIt-Datei und die Skriptdatei zum Ausführen der Malware abzurufen.
Bei erfolgreicher Initialisierung der Darkgate-Malware schreibt die Malware eine Kopie von sich selbst auf die Festplatte und erstellt einen Registrierungsschlüssel, um die Ausführung zwischen Neustarts aufrechtzuerhalten.
Es kann den Prozess auch beenden, wenn es vom AV erkannt wird, und sein Verhalten entsprechend dem bekannten AV-Produkt ändern.
Die Schadsoftware kann verschiedene Datenquellen abfragen, um Informationen über das Betriebssystem, den angemeldeten Benutzer, die aktuell ausgeführten Programme und andere Dinge zu erhalten.
Die Malware nutzt mehrere legitime, von Nirsoft veröffentlichte Freeware-Tools, um vertrauliche Daten zu extrahieren.
Die Malware fragt den C2-Server regelmäßig nach neuen Anweisungen ab, führt die empfangenen Befehle aus und sendet die Ergebnisse schließlich an den C2-Server zurück.
Bleiben Sie über die neuesten Cyber-Sicherheitsnachrichten auf dem Laufenden, indem Sie uns auf Google News, LinkedIn, Twitter und Facebook folgen.
Speichern Sie meinen Namen, meine E-Mail-Adresse und meine Website in diesem Browser für den nächsten Kommentar.
AngriffsausführungIOCBleiben Sie über die neuesten Cyber-Sicherheitsnachrichten auf dem Laufenden, indem Sie uns auf Google News, LinkedIn, Twitter und Facebook folgen.