DarkGate-Malware schlägt in UK, USA und Indien zu
In jüngster Zeit haben Cybersicherheitsexperten eine Reihe von Cyberangriffen aufgedeckt, die von Vietnam ausgingen und auf den Sektor des digitalen Marketings im Vereinigten Königreich, in den Vereinigten Staaten und in Indien abzielten. Diese ausgeklügelten Angriffe beinhalten die Verwendung verschiedener Malware-Stämmewobei der berüchtigte DarkGate-Informationsdieb im Mittelpunkt steht. Schauen wir uns die Details der DarkGate-Malware-Bedrohungen und die von den Angreifern angewandten Strategien verstehen.
Das Detection and Response Team des Sicherheitsunternehmens WithSecure hat aufmerksam mehrere vietnamesische Cybercrime-Gruppen die Social-Engineering-Kampagnen durchführen. Diese Kampagnen, die im September stattfanden, waren geschickt darauf ausgelegt, Marketingfachleute zu täuschen. Die Angreifer brachten ihre Opfer dazu, bösartige Dateien herunterzuladen, die als verlockende Stellenbeschreibungen und Gehaltsangaben getarnt waren.
Täuschende Taktiken
Um ahnungslose Opfer in ihre Falle zu locken, nutzten die Cyberkriminellen das Vertrauen der Menschen in Stellenangebote aus. Sie gaben sich als bekannte Unternehmen wie Corsair, ein Hersteller von Computerspeicher und Hardware, und Groww, ein indisches Finanzunternehmen, aus. Mit gefälschten Stellenangeboten gelang es ihnen, Personen zum Herunterladen scheinbar harmloser Dateien zu bewegen. So wurde beispielsweise eine bösartige Datei namens "Job
Beschreibung von Corsair.docx", während eine andere die Stellenangebote von Groww in Indien ausnutzte.
Malware-Arsenal
Die Cyberkriminellen, die hinter diesen Angriffen stehen, scheinen verschiedene Malware zum Informationsdiebstahl von Cybercrime-Marktplätzen bezogen zu haben. Sie setzten diese Tools austauschbar ein, so dass es schwierig ist, eine bestimmte Kampagne einer bestimmten Gruppe zuzuordnen. Das Malware-Arsenal umfasste u. a. DarkGate, Ducktail, Lobshot und Redline.
Herausforderungen bei der Attribution
Trotz der unterschiedlichen Strategien und Software, die bei diesen Angriffen zum Einsatz kommen, ist der vietnamesische Ursprung das verbindende Element, das sie verbindet. Die Zuordnung im Cyberbereich kann schwierig sein, da die Bedrohungsakteure verschiedene Technologien für dasselbe Ziel einsetzen und dabei neue Ziele, Kampagnen und Köder entwickeln können. Wenn man ihre Aktivitäten nur anhand der von ihnen verwendeten Technologien verfolgt, erhält man daher nur ein begrenztes Bild ihres Verhaltens.
Mangelnde Raffinesse
Bemerkenswert ist, dass die einzelnen Angreifer oder Gruppen, die hinter diesen Kampagnen standen, nicht besonders raffiniert waren. Sie schienen eine beträchtliche Risikobereitschaft zu haben, da sie kaum Anstrengungen unternahmen, ihre Aktivitäten zu verbergen. Sicherheitsforscher konnten die Metadaten in den .lnk-, .pdf- und .msi-Dateien, die in der Kampagne verwendet wurden, problemlos untersuchen und so Informationen über die Urheber des Codes, Identifikationsnummern für Festplatten sowie Zeitstempel und Orte der Dateierstellung aufdecken.
Die DarkGate-Malware
Anfang August entdeckte das wachsame Team von WithSecure vietnamesische Hacker, die versuchten, den DarkGate-Informationsdiebstahl in ein kompromittiertes Windows-Gerät zu injizieren. Um diesen ruchlosen Plan auszuführen, verleiteten die Hacker ihre Opfer zum Herunterladen einer Archivdatei mit dem Namen "Salary and new products.8.4.zip".
In diesem scheinbar harmlosen Archiv lauerte ein bösartiges VBS-Skript, das ein AutoIT-Skriptprogramm ausführen sollte, das wiederum den DarkGate-Fernzugriffs-Trojaner-Code. Die Durchführung einer gründlichen DarkGate-Malware-Analyse eine gründliche Analyse der DarkGate-Malware vorzunehmen, um deren Funktionsweise und potenzielle Bedrohungen zu verstehen.
Die berüchtigte Geschichte von DarkGate
DarkGate tauchte erstmals 2017 auf dem Radar von Sicherheitsforschern auf, als es von Cyberkriminellen für verschiedene bösartige Aktivitäten genutzt wurde. Dazu gehörten Keylogging, Privilegienerweiterung, Kryptowährungs-Mining, Datendiebstahl aus Webbrowsern und die Verwendung als "Dropper" zur Installation weiterer Malware, einschließlich Fernzugriff auf bösartige DarkGate-Software.
DarkGate ist bekannt für seine kompakte Größe und seine Fähigkeit, hochrangige Berechtigungen auf kompromittierten Systemen zu erlangen und gleichzeitig die Nutzdaten zu verschleiern, um die Erkennung durch Antivirenprogramme zu umgehen. Wirksam DarkGate-Malware-Erkennung ist entscheidend für den Schutz Ihrer digitalen Werte.
Flächendeckende Verfügbarkeit
DarkGate ist nach wie vor leicht verfügbar und in Gebrauch. Beunruhigend ist, dass ein russischer Nutzer eines Cybercrime-Forums mit dem Namen "RastaFarEye" DarkGate in einem Cybercrime-Forum anpries. Wie das Sicherheitsunternehmen Zerofox berichtet, kostete die Malware 100.000 Dollar pro Jahr, 15.000 Dollar pro Monat oder 1.000 Dollar pro Tag. Daraufhin beobachteten Sicherheitsforscher einen erheblichen Anstieg der DarkGate-Infektionen in Nord- und Südamerika, im Nahen Osten, in Asien und Afrika.
Phishing über Microsoft Teams
Im September nutzte eine Gruppe von Cyberkriminellen Social-Engineering-Chatnachrichten auf Microsoft Teams, um die DarkGate-Malware zu verbreiten. Diese Angreifer kompromittierten Office 365-Konten, um Phishing-Nachrichten mit einer auf SharePoint gehosteten Datei namens "Changes to the vacation schedule.zip" zu versenden.
Clevere Täuschung
Eine weitere clevere Taktik der Angreifer bestand darin, ein kompromittiertes Skype-Konto zu nutzen. Sie übermittelten die DarkGate-Malware über ein trügerisches VBS-Skript mit dem Namen "filename.pdf". Die Empfänger, die den Eindruck hatten, eine legitime PDF-Datei herunterzuladen, ließen die Malware unwissentlich in ihr System eindringen.
LinkedIn als Waffe
In den Kampagnen, die mit vietnamesischen Angreifern in Verbindung gebracht werden, diente LinkedIn als Plattform für die Verbreitung von bösartigen .zip-Dateien an die Opfer über Direktnachrichten. In einer solchen Nachricht wurden die Opfer auf die URL hxxps://g2.by/jd-Corsair verwiesen, die bei ihrem Besuch zu einer bösartigen Datei auf Google Drive weiterleitete.
Eine vielschichtige Bedrohung
Wie Stephen Robinson, ein Senior Threat Intelligence Analyst bei WithSecure, betont, sind die Langlebigkeit und Vielseitigkeit von DarkGate alarmierend. Es wird nach wie vor von verschiedenen Gruppen zu unterschiedlichen Zwecken genutzt, und zwar nicht nur von den vietnamesischen Angreifern. Diese Vielseitigkeit unterstreicht, wie schwierig es ist, das gesamte Ausmaß von Cyberaktivitäten allein anhand der verwendeten Malware zu beurteilen.
Die verblüffende Funktionalität von Ducktail
Bei einem weiteren Vorfall im Juli infizierte dieselbe Gruppe von Angreifern die Geräte von Einzelpersonen und Mitarbeitern, die Zugang zu Facebook Business-Konten mit Hilfe des Ducktail-Informationsdiebstahls. Ducktail verfügt über eine zusätzliche Funktion, die auf Facebook Business-Konten abzielt. Wenn es ein Sitzungs-Cookie eines Facebook Business-Kontos findet, versucht es, den Angreifer als Administrator hinzuzufügen. Diese Funktion unterstreicht die hochgradig automatisierte Natur der heutigen Malware.
Schlussfolgerung
Die DarkGate-Malware und die mit ihr verbundenen Cybercrime-Gruppen stellen weiterhin eine erhebliche Bedrohung auf globaler Ebene dar. Auch wenn es diesen Angreifern an Raffinesse in ihren Methoden mangelt, machen ihre Unverfrorenheit und Anpassungsfähigkeit sie zu beeindruckenden Gegnern. Wachsam bleiben, Schutz vor DarkGate-Malwareund Investitionen in robuste Cybersicherheitsmaßnahmen sind nach wie vor entscheidend für den Schutz digitaler Werte vor dieser sich entwickelnden Bedrohung.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und GOVInfoSecurity.