Αυτός ο αυξανόμενος παράγοντας απειλών κακόβουλου λογισμικού πρόκειται να εξαπολύσει ένα κύμα επιθέσεων, προειδοποιούν οι ειδικοί

By

Marizas Dimitris

On

Δεκ 22, 2023

Πρόκειται να δούμε

μι

α σημαντική αύξηση στην ανάπτυξη του DarkGate και του NetSupport, προειδοποιούν οι ειδικοί σε θέματα ασφάλειας.

Ερευνητές από το Proofpoint ισχυρίζονται ότι παρατήρησαν έναν ολοκαίνουργιο ηθοποιό απειλών, που ονομάστηκε “BattleRoyal”. Αυτός ο παράγοντας απειλών δημιούργησε τουλάχιστον 20 καμπάνιες ηλεκτρονικού ταχυδρομείου τους μήνες μεταξύ Σεπτεμβρίου και Νοεμβρίου του τρέχοντος έτους, για να παραδώσει το κακόβουλο

λογισμικό

DarkGate.

Στα τέλη Νοεμβρίου και στις αρχές Δεκεμβρίου, η ομάδα στράφηκε από το DarkGate στο NetSupport, ένα νόμιμο εργαλείο απομακρυσμένης πρόσβασης που χρησιμοποιείται συχνά από χάκερ για να εδραιώσει την επιμονή σε στοχευμένα τελικά σημεία. Εκτός από τα μηνύματα ηλεκτρονικού ταχυδρομείου, η ομάδα χρησιμοποίησε επίσης μια σειρά από παραβιασμένους ιστότοπους και ψεύτικα θέλγητρα ενημέρωσης για να κάνει τους ανθρώπους να κατεβάσουν το κακόβουλο λογισμικό.

Κατάχρηση

ελαττώματος SmartScreen

Οι λόγοι για την αλλαγή παραμένουν ένα μυστήριο, με τους ερευνητές να υπονοούν ότι μπορεί να οφείλεται στο DarkGate που τραβούσε υπερβολική προσοχή.

Σε κάθε περίπτωση, η ομάδα έκανε κατάχρηση μιας ευπάθειας που παρακολουθείται ως CVE-

2023

-36025 για την παράδοση του κακόβουλου λογισμικού. Και άλλες ομάδες έκαναν κατάχρηση αυτού του ελαττώματος, αλλά το σύμπλεγμα BattleRoyal «εκμεταλλεύτηκε αυτήν την ευπάθεια περισσότερο από οποιονδήποτε άλλο παράγοντα που παρατηρήθηκε στα δεδομένα απειλών Proofpoint». Η BattleRoyal το έκανε κατάχρηση ακόμη και πριν δημοσιευτεί από τη Microsoft, είπε η εταιρεία.

Το

ελάττωμα εντοπίζεται στο Windows SmartScreen, ένα χαρακτηριστικό ασφαλείας που έχει σχεδιαστεί για να εμποδίζει τους ανθρώπους να επισκέπτονται επικίνδυνους ιστότοπους. Η Proofpoint εξήγησε ότι οι εισβολείς μπορούσαν να παρακάμψουν τις άμυνες SmartScreen κάνοντας το θύμα να κάνει κλικ σε μια ειδικά σχεδιασμένη διεύθυνση URL, κάτι που επέτρεπε η ευπάθεια.

Όπως εξηγείται από τη Malpedia, το DarkGate είναι ένας φορτωτής εμπορευμάτων που τεκμηριώθηκε για πρώτη φορά το 2018. Έρχεται με πολυάριθμες δυνατότητες, όπως η δυνατότητα λήψης και εκτέλεσης αρχείων στη μνήμη, μια μονάδα Hidden Virtual Network Computing (HVNC), η δυνατότητα καταγραφής πατημάτων πλήκτρων, η δυνατότητα κλοπής πληροφορίες και κλιμάκωση των προνομίων. Το DarkGate καταχράται τα νόμιμα αρχεία AutoIt και συνήθως εκτελεί πολλαπλά σενάρια AutoIt.

Οι νέες εκδόσεις του DarkGate έχουν διαφημιστεί σε ένα ρωσόφωνο φόρουμ eCrime από τον Μάιο του 2023, καταλήγει η έκθεση.

VIA:

TechRadar.com/