ClickCease DarkGate-Malware schlägt in UK, USA und Indien zu

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

DarkGate-Malware schlägt in UK, USA und Indien zu

Wajahat Raja

1. November 2023. TuxCare-Expertenteam

In jüngster Zeit haben Cybersicherheitsexperten eine Reihe von Cyberangriffen aufgedeckt, die von Vietnam ausgingen und auf den Sektor des digitalen Marketings im Vereinigten Königreich, in den Vereinigten Staaten und in Indien abzielten. Diese ausgeklügelten Angriffe beinhalten die Verwendung verschiedener Malware-Stämmewobei der berüchtigte DarkGate-Informationsdieb im Mittelpunkt steht. Schauen wir uns die Details der DarkGate-Malware-Bedrohungen und die von den Angreifern angewandten Strategien verstehen.

 

Das Detection and Response Team des Sicherheitsunternehmens WithSecure hat aufmerksam mehrere vietnamesische Cybercrime-Gruppen die Social-Engineering-Kampagnen durchführen. Diese Kampagnen, die im September stattfanden, waren geschickt darauf ausgelegt, Marketingfachleute zu täuschen. Die Angreifer brachten ihre Opfer dazu, bösartige Dateien herunterzuladen, die als verlockende Stellenbeschreibungen und Gehaltsangaben getarnt waren.

 

Täuschende Taktiken


Um ahnungslose Opfer in ihre Falle zu locken, nutzten die Cyberkriminellen das Vertrauen der Menschen in Stellenangebote aus. Sie gaben sich als bekannte Unternehmen wie Corsair, ein Hersteller von Computerspeicher und Hardware, und Groww, ein indisches Finanzunternehmen, aus. Mit gefälschten Stellenangeboten gelang es ihnen, Personen zum Herunterladen scheinbar harmloser Dateien zu bewegen. So wurde beispielsweise eine bösartige Datei namens "Job
Beschreibung von Corsair.docx", während eine andere die Stellenangebote von Groww in Indien ausnutzte.

 

Malware-Arsenal

 

Die Cyberkriminellen, die hinter diesen Angriffen stehen, scheinen verschiedene Malware zum Informationsdiebstahl von Cybercrime-Marktplätzen bezogen zu haben. Sie setzten diese Tools austauschbar ein, so dass es schwierig ist, eine bestimmte Kampagne einer bestimmten Gruppe zuzuordnen. Das Malware-Arsenal umfasste u. a. DarkGate, Ducktail, Lobshot und Redline.

 

Herausforderungen bei der Attribution

 

Trotz der unterschiedlichen Strategien und Software, die bei diesen Angriffen zum Einsatz kommen, ist der vietnamesische Ursprung das verbindende Element, das sie verbindet. Die Zuordnung im Cyberbereich kann schwierig sein, da die Bedrohungsakteure verschiedene Technologien für dasselbe Ziel einsetzen und dabei neue Ziele, Kampagnen und Köder entwickeln können. Wenn man ihre Aktivitäten nur anhand der von ihnen verwendeten Technologien verfolgt, erhält man daher nur ein begrenztes Bild ihres Verhaltens.

Mangelnde Raffinesse

 

Bemerkenswert ist, dass die einzelnen Angreifer oder Gruppen, die hinter diesen Kampagnen standen, nicht besonders raffiniert waren. Sie schienen eine beträchtliche Risikobereitschaft zu haben, da sie kaum Anstrengungen unternahmen, ihre Aktivitäten zu verbergen. Sicherheitsforscher konnten die Metadaten in den .lnk-, .pdf- und .msi-Dateien, die in der Kampagne verwendet wurden, problemlos untersuchen und so Informationen über die Urheber des Codes, Identifikationsnummern für Festplatten sowie Zeitstempel und Orte der Dateierstellung aufdecken.

 

Die DarkGate-Malware

 

Anfang August entdeckte das wachsame Team von WithSecure vietnamesische Hacker, die versuchten, den DarkGate-Informationsdiebstahl in ein kompromittiertes Windows-Gerät zu injizieren. Um diesen ruchlosen Plan auszuführen, verleiteten die Hacker ihre Opfer zum Herunterladen einer Archivdatei mit dem Namen "Salary and new products.8.4.zip". 

In diesem scheinbar harmlosen Archiv lauerte ein bösartiges VBS-Skript, das ein AutoIT-Skriptprogramm ausführen sollte, das wiederum den DarkGate-Fernzugriffs-Trojaner-Code. Die Durchführung einer gründlichen DarkGate-Malware-Analyse eine gründliche Analyse der DarkGate-Malware vorzunehmen, um deren Funktionsweise und potenzielle Bedrohungen zu verstehen.

 

Die berüchtigte Geschichte von DarkGate

 

DarkGate tauchte erstmals 2017 auf dem Radar von Sicherheitsforschern auf, als es von Cyberkriminellen für verschiedene bösartige Aktivitäten genutzt wurde. Dazu gehörten Keylogging, Privilegienerweiterung, Kryptowährungs-Mining, Datendiebstahl aus Webbrowsern und die Verwendung als "Dropper" zur Installation weiterer Malware, einschließlich Fernzugriff auf bösartige DarkGate-Software.

DarkGate ist bekannt für seine kompakte Größe und seine Fähigkeit, hochrangige Berechtigungen auf kompromittierten Systemen zu erlangen und gleichzeitig die Nutzdaten zu verschleiern, um die Erkennung durch Antivirenprogramme zu umgehen. Wirksam DarkGate-Malware-Erkennung ist entscheidend für den Schutz Ihrer digitalen Werte.

 

Flächendeckende Verfügbarkeit

 

DarkGate ist nach wie vor leicht verfügbar und in Gebrauch. Beunruhigend ist, dass ein russischer Nutzer eines Cybercrime-Forums mit dem Namen "RastaFarEye" DarkGate in einem Cybercrime-Forum anpries. Wie das Sicherheitsunternehmen Zerofox berichtet, kostete die Malware 100.000 Dollar pro Jahr, 15.000 Dollar pro Monat oder 1.000 Dollar pro Tag. Daraufhin beobachteten Sicherheitsforscher einen erheblichen Anstieg der DarkGate-Infektionen in Nord- und Südamerika, im Nahen Osten, in Asien und Afrika.

 

Phishing über Microsoft Teams

 

Im September nutzte eine Gruppe von Cyberkriminellen Social-Engineering-Chatnachrichten auf Microsoft Teams, um die DarkGate-Malware zu verbreiten. Diese Angreifer kompromittierten Office 365-Konten, um Phishing-Nachrichten mit einer auf SharePoint gehosteten Datei namens "Changes to the vacation schedule.zip" zu versenden.

 

Clevere Täuschung

 

Eine weitere clevere Taktik der Angreifer bestand darin, ein kompromittiertes Skype-Konto zu nutzen. Sie übermittelten die DarkGate-Malware über ein trügerisches VBS-Skript mit dem Namen "filename.pdf". Die Empfänger, die den Eindruck hatten, eine legitime PDF-Datei herunterzuladen, ließen die Malware unwissentlich in ihr System eindringen.

 

LinkedIn als Waffe

 

In den Kampagnen, die mit vietnamesischen Angreifern in Verbindung gebracht werden, diente LinkedIn als Plattform für die Verbreitung von bösartigen .zip-Dateien an die Opfer über Direktnachrichten. In einer solchen Nachricht wurden die Opfer auf die URL hxxps://g2.by/jd-Corsair verwiesen, die bei ihrem Besuch zu einer bösartigen Datei auf Google Drive weiterleitete.

 

Eine vielschichtige Bedrohung


Wie Stephen Robinson, ein Senior Threat Intelligence Analyst bei WithSecure, betont, sind die Langlebigkeit und Vielseitigkeit von DarkGate alarmierend. Es wird nach wie vor von verschiedenen Gruppen zu unterschiedlichen Zwecken genutzt, und zwar nicht nur von den vietnamesischen Angreifern. Diese Vielseitigkeit unterstreicht, wie schwierig es ist, das gesamte Ausmaß von Cyberaktivitäten allein anhand der verwendeten Malware zu beurteilen.


Die verblüffende Funktionalität von Ducktail

 

Bei einem weiteren Vorfall im Juli infizierte dieselbe Gruppe von Angreifern die Geräte von Einzelpersonen und Mitarbeitern, die Zugang zu Facebook Business-Konten mit Hilfe des Ducktail-Informationsdiebstahls. Ducktail verfügt über eine zusätzliche Funktion, die auf Facebook Business-Konten abzielt. Wenn es ein Sitzungs-Cookie eines Facebook Business-Kontos findet, versucht es, den Angreifer als Administrator hinzuzufügen. Diese Funktion unterstreicht die hochgradig automatisierte Natur der heutigen Malware.

 

Schlussfolgerung

 

Die DarkGate-Malware und die mit ihr verbundenen Cybercrime-Gruppen stellen weiterhin eine erhebliche Bedrohung auf globaler Ebene dar. Auch wenn es diesen Angreifern an Raffinesse in ihren Methoden mangelt, machen ihre Unverfrorenheit und Anpassungsfähigkeit sie zu beeindruckenden Gegnern. Wachsam bleiben, Schutz vor DarkGate-Malwareund Investitionen in robuste Cybersicherheitsmaßnahmen sind nach wie vor entscheidend für den Schutz digitaler Werte vor dieser sich entwickelnden Bedrohung.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und GOVInfoSecurity.

 

Zusammenfassung
DarkGate-Malware schlägt in UK, USA und Indien zu
Artikel Name
DarkGate-Malware schlägt in UK, USA und Indien zu
Beschreibung
Bleiben Sie auf dem Laufenden über DarkGate-Malware, die auf Großbritannien, die USA und Indien abzielt. Erfahren Sie, wie Sie Ihr Unternehmen schützen können. Erforschen Sie die neuesten Bedrohungen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter