DarkGate loader elemzése
Ahogy a DarkGate népszerűsége egyre növekszik, a Pulsedive kutatói megfigyelték, hogy a DarkGate fertőzések elindítására számos különböző módszert használnak. A kezdeti adathalász vektortól az első fázisú betöltőig a fenyegető szereplők változtattak a technikákon, hogy megpróbálják elkerülni a felismerést és megkerülni a biztonsági ellenőrzéseket. Ez a blog három különböző betöltőtípust vizsgál a közelmúltbeli DarkGate-fertőzésekben használtak.
A DarkGate egy árucikknek számító rosszindulatú szoftver (Malware-as-a-Service – MaaS), amely 2017 vége/ 2018 eleje óta van ismert. A kártevő képes fájlok letöltésére és futtatására, jogosultságok emelésére és információlopásra. A korábbi években a rosszindulatú szoftvereket adathalászkampányokon keresztül terjesztették. A közelmúltban azonban a fenyegető szereplők elkezdték kihasználni a Microsoft Teams-t a DarkGate fertőzési láncok elindításához használt rosszindulatú mellékletek küldésére. Roman Hüssy, az abuse.ch munkatársa szerint a DarkGate-et a kezdeti hozzáférési brókerek arra használták, hogy más fenyegető szereplők, köztük zsarolóprogram-csoportok számára hozzáférést biztosítsanak a hálózatokhoz.
A ZeroFox 2023. júniusi tájékoztatója szerint a kártevőt darknetes fórumokon hirdették. A bejegyzés szerzője a rosszindulatú szoftverhez való hozzáférést hirdette díj ellenében. A díjak 1000 és 100 000 USD között mozognak a szereplők által a DarkGate-hez való hozzáférés kívánt időtartamától függően.
Ahogy a DarkGate egyre népszerűbbé válik a fenyegető szereplők körében, a biztonsági kutatók különböző vektorok használatát figyelik meg a DarkGate letöltésére és végrehajtására. Míg a zip-tömörített fájlok e-mailben történő elküldése egy olyan vektor, amely ellen gyakrabban védekeznek, a fenyegető szereplők más mechanizmusokat is alkalmaznak. Ennek eredményeképpen a védőknek további kommunikációs csatornákat kell figyelniük a kezdeti kézbesítéshez. Ide tartozik a Microsoft Teams, ahol a fenyegető szereplők visszaélhetnek olyan konfigurációkkal, amelyek lehetővé teszik a felhasználók számára, hogy üzeneteket fogadjanak a szervezetükön kívüli felhasználóktól. A megfigyelt DarkGate fertőzési láncok egyik közös jellemzője az AutoIt3 használata.
