بدافزار پیشرفته جدیدی با نام DarkGate کشف شده است که میتواند فعالیتهای مخربی از قبیل حملات باجافزاری، سرقت اطلاعات احرازهویت، دسترسی از راه دور و استخراج ارز دیجیتالی را انجام دهد. این بدافزار اکنون از طریق فایلهای تورنت توزیع میشود و عمدتا ایستگاههای کاری ویندوزی را مورد هدف قرار میدهد. بدافزار DarkGate از طریق پلتفرمهای پیامرسانی همچون Skype و Microsoft Teams منتشر شده است.
در بازه زمانی ژوئیه تا سپتامبر 2023، بدافزار DarkGate از حسابهای کاربری اسکایپ جهت ارسال پیامهای حاوی پیوستهای اسکریپت لودر VBA استفاده کردهاند. در این حملات، برنامههای پیامرسان برای ارائه یک اسکریپت لودر ویژوال بیسیک برای برنامهها (VBA) استفاده میشوند. این پیوست مخرب به عنوان یک فایل PDF ظاهر میشود، که پس از باز شدن، دانلود و اجرای یک اسکریپت AutoIt کار خود را آغاز میکند.
این ابزار مهاجمان را قادر میسازد تا محدودیتهای فایلهای دریافتی را دور بزند و پیوستهای فیشینگ را برای کاربران ارسال کنند. شایان ذکر است که تهدیدات صورت گرفته میتواند از باج افزار تا رمزنگاری متفاوت باشند.
مجرمان سایبری به طور چشمگیری از بدافزار DarkGate برای دسترسی اولیه به شبکههای شرکتی استفاده میکنند. قبل از Qakbot، فردی که ادعا میکرد توسعهدهنده DarkGate است، تلاش کرد تا اشتراکهای خود را در یک انجمن هکری بفروشد و هزینه سالانه آن را تا 100000 دلار عنوان کرد.
این بدافزار جهت ارائه طیف وسیعی از ویژگیها، از جمله VNC مخفی، قابلیتهای دور زدن Windows Defender، ابزار سرقت تاریخچه مرورگر، یک پروکسی معکوس یکپارچه، مدیریت فایل و سرقت توکن Discord درمعرض تبلیغات قرار گرفته است. پس از این اعلامیه، افزایش قابل توجهی در گزارشهای ثبت DarkGate از طریق روشهای مختلفی همچون فیشینگ و تبلیغات مشاهده شد که این افزایش در فعالیت DarkGate بر نفوذ فزاینده این عملیات بدافزار به عنوان سرویس (MaaS) در حوزه جرایم سایبری تاکید دارد.
منبع خبر:
https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-a…
- 104