Легкий доступ к VPN в России через наш Телеграмм-бот:
|
Наследник QakBot теперь атакует пользователей через серверы Samba.
Специалисты Palo Alto Networks Unit 42 обнаружили кампанию DarkGate, в ходе которой используются файловые ресурсы Samba для распространения трояна. Активность наблюдалась в марте и апреле 2024 года, когда DarkGate использовал общедоступные серверы Samba, размещающие файлы VBS и JavaScript. Целями атак стали пользователи в Северной Америке, Европе и Азии.
Вредоносное ПО DarkGate, впервые появившееся в 2018 году, работает по модели MaaS для ограниченного числа клиентов. DarkGate обладает функциями удаленного управления зараженными хостами, выполнения кода, майнинга криптовалюты, запуска реверс-шелла (Reverse Shell) и доставки дополнительных полезных нагрузок. В последние месяцы атаки с использованием DarkGate значительно участились после международной операции, в ходе которой правоохранительные органы ликвидировали инфраструктуру QakBot в августе 2023 года.
Цепочка заражения DarkGate
Обнаруженная кампания DarkGate начинается с отправки по email файлов Microsoft Excel (.xlsx), которые при открытии призывают пользователя нажать кнопку «Открыть». После нажатия на кнопку выполняется VBS-код, размещенный на Samba. VBS-код загружает с C2-сервера PowerShell-скрипт, который в конечном итоге загружает пакет DarkGate на основе AutoHotKey. Альтернативные сценарии используют JavaScript вместо VBS, чтобы загрузить и выполнить последующий скрипт PowerShell.
Лучший VPN-прокси для России доступен через наш Телеграмм-бот:
|
Документ Excel побуждает жертву нажать кнопку «Открыть» для выполнения скрипта
Одним из методов антианализа DarkGate является идентификация ЦП целевой системы. Троян проверяет, запущен ли он в виртуальной среде или на физическом хосте. Проверка позволяет прекратить работу, чтобы избежать анализа в контролируемой среде. Вредоносное ПО также исследует запущенные процессы на хосте для обнаружения инструментов реверс-инжиниринга, отладчиков или программ виртуализации.
Помимо проверки информации о ЦП, DarkGate также сканирует систему на наличие множества других программ защиты от вредоносного ПО. Выявляя установленное ПО безопасности, DarkGate может избежать срабатывания механизмов обнаружения или даже отключить их, чтобы избежать дальнейшего анализа.
Трафик управления и контроля (C2) использует незашифрованные HTTP-запросы, но данные обфусцированы и представлены в виде текста, закодированного в Base64. Специалисты подчеркнули, что DarkGate продолжает развиваться и совершенствовать методы проникновения и сопротивления анализу, оставаясь громким напоминанием о необходимости надежной и проактивной защиты кибербезопасности.
Станьте призраком в интернете
Узнайте как на нашем канале
Присоединяйтесь сейчас
Топ VPN сервис — это не просто модный термин; это реальная необходимость для пользователей, которые хотят обеспечить свою безопасность и конфиденциальность в интернете. Выбор качественного VPN может значительно улучшить ваше онлайн-опыт, позволяя вам безопасно серфить в интернете, обходить блокировки и защищать свои данные.
Топовые VPN используют современные протоколы шифрования, такие как AES-256, что обеспечивает высокий уровень защиты данных от перехвата.
Многие из лучших VPN-сервисов придерживаются политики отсутствия логов (no-logs policy), что означает, что они не хранят информацию о действиях пользователей. Это обеспечивает дополнительную конфиденциальность.
Топовые VPN-сервисы предлагают надежную техническую поддержку, включая круглосуточный чат и подробные руководства по настройке.
