挖礦軟件“DarkGate”威脅歐洲Windows用戶
責編:gltian |2018-12-06 13:45:05歐洲的Windows用戶最近成為復雜惡意軟件活動的目標,該活動為攻擊者提供了多種攻擊手段,包括加密貨幣挖礦,憑證竊取,勒索軟件和遠程訪問接管。
據報道,該惡意軟件被其開發者命名為DarkGate,它通過偽裝成流行娛樂產品(如西班牙電影Campeones和美劇《行尸走肉》)的Torrent文件進行傳播。這些文件被下載后,將在下載設備上執行惡意VBscripts。 設備被感染后,第一個惡意軟件與C2服務器的交互將啟動挖礦進程,從那時起,DarkGate有可能進行進一步的攻擊。
終端安全平臺enSilo于11月13日發表文章稱,該活動的目標用戶主要集中在西班牙和法國。enSilo研究員Adi Zeligson于2017年12月27日發現了該威脅,他認為,DarkGate似乎與之前已知的名為Golroted的密碼竊取工具密切相關。
據enSilo報道,DarkGate的密碼竊取組件使用NirSoft工具竊取用戶憑證、瀏覽器cookie、瀏覽器歷史記錄和Skype聊天記錄。但研究人員發現,攻擊者似乎更青睞于加密貨幣憑證。
除了多功能性之外,還值得注意的是,DarkGate實現了進程鏤空(Process Hollowing)行為——將合法進程加載到系統上以便將其用作隱藏惡意代碼的“掩護”。為了實現這一目的,DarkGate還濫用了vbc.exe或regasm.exe進程。
惡意軟件還依賴于UAC(用戶帳戶控制)繞過功能來提升其權限。為此,它采用了兩個不同的技巧,利用了定時任務DiskCleanup和合法進程文件eventvwr.exe(即Windows事件查看器Snapin Launcher)。
DarkGate的另一個顯著特點是其人性化的“反應式”C2基礎設施由真人構成。研究人員報道,這些操作人員“根據收到加密錢包的新感染通知采取行動”。 此外,“當操作人員檢測到任何有趣的活動時,他們繼續在“被感染的”機器上安裝自定義遠程訪問工具以進行手動操作。”
為了隱藏這些特殊的C2基礎設施,DarkGate對其惡意服務器(包括Akamai CDN或AWS)進行了偽裝。DarkGate還采取措施通過監視沙箱或虛擬環境中常見的情況以及檢查特定AV解決方案的存在來避免檢測。
enSilo研究人員認為,攻擊者的目標是最大限度地獲取貨幣收益,因此傾向于將矛頭指向有價值的目標,例如擁有重要計算資源的組織。
原文鏈接:https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/