DarkCloud Stealer kampány
2025 januárban a Unit 42 kutatói egy DarkCloud Stealer-t terjesztő támadássorozatot azonosítottak. A legutóbbi támadási lánc az AutoIt-et is beépítette a felderítés elkerülése érdekében, és egy fájlmegosztó szervert használt a malware hosztolására. A DarkCloud többlépcsős hasznos terheléseket és obfuszkált AutoIt szkriptelést alkalmaz, ami kihívást jelent a hagyományos, szignatúra alapú módszerekkel történő felderítésében. Az érzékeny adatok kinyerésére és a parancsnoki és irányítási (C2) kommunikáció létrehozására való képessége rávilágít az alapos észlelés és értékelés fontosságára.
A DarkCloud Stealer-t már 2023 januárjában hirdették hackerfórumokon. A Unit 42 telemetriáiból kiderül, hogy a DarkCloud Stealer-t terjesztő kiberszereplők különböző szektorokat céloztak meg, de különösen a kormányzati szervezetekre koncentráltak. Egy lengyel távközlési szolgáltató 2025. februári jelentése szerint a DarkCloud Stealer lengyelországi eszközök elleni támadásokban jelent meg. Az eredetileg 2022-ben észlelt stealer-t úgy tervezték, hogy érzékeny, böngészőben tárolt adatokat, például hitelkártyaadatokat, bejelentkezési adatokat és egyéb személyes adatokat gyűjtsön. A DarkCloud Stealer túlnyomórészt phishing emaileken keresztül terjed, és jelenleg is fejlesztés alatt áll.
Az egyik támadási lánc egy adathalász e-maillel kezdődik. Egy RAR-archívumot vagy egy PDF-et tartalmazó adathalász e-mailt kap az áldozat. Az adathalász PDF-et tartalmazó e-mail esetében a PDF egy felugró üzenetet tartalmaz, amely arra kéri az áldozatot, hogy töltsön le egy szoftverfrissítésnek álcázott rosszindulatú archívumot (egy fájlmegosztó szolgáltatás URL-címéről). A RAR-archívum egy AutoIt által lefordított PE (EXE) fájlt tartalmaz. Az AutoIt szkript (AU3 fájl) mellett az AutoIt fordított EXE csomag két titkosított fájlt is tartalmaz. Az egyik fájl egy titkosított shellcode, a másik fájl pedig az XOR-olt payload. Az AutoIt szkript a két adatfájlból építi fel és futtatja a végleges DarkCloud Stealer payload-ot.
A DarkCloud számos anti-analysis technikát tartalmaz, beleértve az olyan elemzőeszközök ellenőrzését, mint például a WinDbg, Fiddler, TCPView, Process Explorer, VMWare eszközök, Wireshark vagy Process Monitor.
