DarkGate malware a Samba fájlmegosztásokat használja ki

Kiberbiztonsági kutatók egy rövid DarkGate malware kampányt fedtek fel, amely Samba fájlmegosztásokat használt a fertőzések elindításához. A Palo Alto Networks 42-es egysége nyilvánosságra hozta, hogy a 2024 márciusában és áprilisában zajló kampányban olyan szervereket használtak, amelyeken nyilvános Samba fájlmegosztók futottak, és amelyek Visual Basic Script (VBS) és JavaScript fájlokat tartottak, és Észak-Amerika, Európa és Ázsia területeit érintették. A törvényes eszközökkel és szolgáltatásokkal való ilyen innovatív visszaélés a rosszindulatú programok terjesztésére a fenyegető szereplők körében tendenciát képvisel: a DarkGate egy olyan malware-as-a-service (MaaS) modellé fejlődött, amely a veszélyeztetett hosztok távoli vezérlését, kódfuttatást, kriptopénz-bányászatot, fordított héj indítását és további hasznos terhek telepítését kínálja.

A kampány a részletek szerint Microsoft Excel (.xlsx) fájlokkal kezdődik, amelyek a célpontokat egy Samba fájlmegosztón tárolt VBS-kód megnyitásához vezetik, ha rákattintanak. Egy kísérő PowerShell szkript lekérdez és végrehajt egy másik PowerShell szkriptet egy AutoHotKey-alapú DarkGate csomag letöltéséhez. A DarkGate átvizsgálja a gazdaállomást a rosszindulatú szoftverek elleni programok után, ellenőrzi a CPU-információkat annak megállapítására, hogy fizikai gépről vagy virtuális környezetről van-e szó, és keresi a reverse engineering eszközök, debuggerek vagy virtualizációs szoftverek jelenlétét. Annak ellenére, hogy a kártevő kódolatlan HTTP-kérelmeket használ, az adatok el vannak homályosítva, és Base64-kódolt szövegként jelennek meg.

(forrás)

(forrás)

(forrás)

(forrás)

(forrás)

(forrás)