DarkCloud stealer képességei
Az eSentire Threat Response Unit feltárta a DarkCloud információ-lopó család legújabb változatát és terjesztési módszereit, egy ipari ügyfélhez érkező, Zendesk-címre célzott spear-phishing kampányban egy banki témájú e-mailhez csatolt ZIP fájl futtatta le a DarkCloud 3.2-est, amely böngészői jelszavakra, hitelkártya-adatokra, cookie-kra, billentyűleütésekre, FTP-hitelesítőkre, vágólapra, e-mail kliensekre, fájlokra és kriptopénztárcák tartalmára vadászik.
A DarkCloud története és ökoszisztémája jellegzetes, korábban .NET-ben épült stealerként árulták a bűnözői fórumokon, majd többszöri frissítéssel kapott erősebb elrejtési rétegeket és új leszállító/eváziós technikákat; az egyik fontos újdonság, hogy a stubot teljesen átírták Visual Basic 6-ra, és a builder most helyi VB6 IDE-t igényel a stub fordításához, ami ugyan működésében egyszerűbbé teszi a készítők dolgát, de egyben növeli az illetéktelen, másolt változatok felbukkanásának esélyét.
A terjesztés és irányítás kényes eleme, hogy a malware értékesítői és üzemeltetői publikus weboldalon és Telegramon hirdetik a DarkCloudot (a darkcloud.onlinewebshop[.]net és a @BluCoder felhasználó szerepel a vizsgálatban), miközben a lopott adatokat többféle csatornán várják: a támadók Telegram-üzenetekbe, FTP-szerverre, SMTP-címekre, vagy egy PHP-alapú webpanelre továbbítják az exfiltrált információt, így a védelemnek egyszerre kell hálózati, végpont és alkalmazásszintű kontrollokat érvényesítenie.
Technikailag a DarkCloud builder GUI-ja és a helyi fordítási modell azt jelenti, hogy a rosszindulatú kód forrása könnyebben terjeszthető, módosítható és újraosztható, ami gyorsabb elterjedést és változékonyságot eredményez a mintákban. Ez a mintázati fragmentálódás nehezíti a hagyományos, aláírásra épülő védelmet, ezért az eSentire hangsúlyozza a viselkedés- és telemetria-alapú észlelések szükségességét.
A jelentés kiemeli a pszichológiai megtévesztés kifinomultságát, a levelek pénzügyi kontextusúak, hitelesnek ható tárgyat és testet használnak, valamint célzottan support-címekre érkeznek — ezért a bevett e-mail-védelem mellett érdemes a beérkező üzenetek tartalmát, a csatolmányok típusát és az automatizált ZIP/EXE-k kezelését megerősíteni, továbbá monitorozni a ritka folyamatokat és a gyanús hálózati TLS-végpontokat, amelyek az adatkiszivárgást szolgálhatják.
