Новости Обнаружен новый загрузчик DarkGate

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Исследователи «Лаборатории Касперского» новый загрузчик DarkGate, его автор утверждает, что начал работу над вредоносом еще в 2017 году, в общей сложности потратив на разработку более 20 000 часов.


DarkGate обладает расширенными функциями по сравнению с обычной малварью такого типа. В числе возможностей DarkGate: скрытое VNC-подключение, обход Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение воровать токены Discord и так далее. Хотя в изученном экспертами образце присутствовали не все эти функции, их можно было активировать или отключить в билдере.

maxresdefault.jpg


Аналитикам удалось восстановить полную цепочку заражения, состоящую из четырех этапов, до момента загрузки финальной полезной нагрузки — самого DarkGate.

  1. VBS-загрузчик. Простой скрипт, который задает несколько переменных окружения, чтобы обфусцировать последующие вызовы команд. Затем с командного сервера скачиваются два файла (Autoit3.exe и script.au3). Файл Autoit3.exe запускается, при этом script.au3 передается в качестве аргумента.

  2. Скрипт AutoIT V3. AutoIT V3 — скриптовый язык типа BASIC. Его часто используют разработчики вредоносного ПО, так как он позволяет имитировать нажатия клавиш, перемещения мыши и многое другое. Скрипт обфусцируется перед выполнением, но при этом загружает в память встроенный шелл-код и затем выполняет его.

  3. Шелл-код. Шелл-код работает довольно просто: он создает PE-файл в памяти, динамически разрешает таблицу импорта и передает этому файлу управление.

  4. Исполнитель DarkGate (PE-файл, созданный шелл-кодом). Исполнитель загружает файл script.au3 в память и находит в нем зашифрованный блок данных, который расшифровывается с использованием XOR-ключа и операции NOT. В результате получается PE-файл, чья таблица импорта разрешается динамически. Последний этап — загрузчик DarkGate.
Эксперты отмечают, что также интерес представляет и способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Помимо DarkGate за последние месяцы эксперты обнаружили и новые образцы Emotet, а также новую кампанию с использованием стилера LokiBot.

В компании рассказывают, что теперь Lokibot нацелен на организации, занимающиеся морскими перевозками грузов. Инфостилер, впервые обнаруженный в 2016 году, предназначен для кражи учетных данных из разных приложений, в том числе браузеров и FTP-клиентов.

Фишинговые письма, рассылаемые в рамках данной кампании, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office ( ), которая ведет к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость ( ), чтобы загрузить и запустить LokiBot.

После запуска вредонос собирает учетные данные из различных источников и сохраняет их в свой буфер обмена, а затем передает на командный сервер. Данные отправляются в POST-запросах, сжатых с помощью библиотеки APLib. После отправки информации о системе малварь ожидает дополнительные команды от C&C-сервера. Сервер может отправить команду скачать дополнительную малварь, запустить кейлоггер и так далее.

 
Сверху Снизу