挖矿软件“DarkGate”威胁欧洲Windows用户

欧洲的Windows用户最近成为复杂恶意软件活动的目标,该活动为攻击者提供了多种攻击手段,包括加密货币挖矿,凭证窃取,勒索软件和远程访问接管。

miner

据报道,该恶意软件被其开发者命名为DarkGate,它通过伪装成流行娱乐产品(如西班牙电影Campeones和美剧《行尸走肉》)的Torrent文件进行传播。这些文件被下载后,将在下载设备上执行恶意VBscripts。 设备被感染后,第一个恶意软件与C2服务器的交互将启动挖矿进程,从那时起,DarkGate有可能进行进一步的攻击。

终端安全平台enSilo于11月13日发表文章称,该活动的目标用户主要集中在西班牙和法国。enSilo研究员Adi Zeligson于2017年12月27日发现了该威胁,他认为,DarkGate似乎与之前已知的名为Golroted的密码窃取工具密切相关。

据enSilo报道,DarkGate的密码窃取组件使用NirSoft工具窃取用户凭证、浏览器cookie、浏览器历史记录和Skype聊天记录。但研究人员发现,攻击者似乎更青睐于加密货币凭证。

除了多功能性之外,还值得注意的是,DarkGate实现了进程镂空(Process Hollowing)行为——将合法进程加载到系统上以便将其用作隐藏恶意代码的“掩护”。为了实现这一目的,DarkGate还滥用了vbc.exe或regasm.exe进程。

恶意软件还依赖于UAC(用户帐户控制)绕过功能来提升其权限。为此,它采用了两个不同的技巧,利用了定时任务DiskCleanup和合法进程文件eventvwr.exe(即Windows事件查看器Snapin Launcher)。

DarkGate的另一个显著特点是其人性化的“反应式”C2基础设施由真人构成。研究人员报道,这些操作人员“根据收到加密钱包的新感染通知采取行动”。 此外,“当操作人员检测到任何有趣的活动时,他们继续在“被感染的”机器上安装自定义远程访问工具以进行手动操作。”

为了隐藏这些特殊的C2基础设施,DarkGate对其恶意服务器(包括Akamai CDN或AWS)进行了伪装。DarkGate还采取措施通过监视沙箱或虚拟环境中常见的情况以及检查特定AV解决方案的存在来避免检测。

enSilo研究人员认为,攻击者的目标是最大限度地获取货币收益,因此倾向于将矛头指向有价值的目标,例如拥有重要计算资源的组织。

原文链接:https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/

上一篇:调查:新漏洞的出现速度比安全团队的修复速度更快

下一篇:这些明星也上过网络诈骗的当,背后全是“套路”