挖矿软件“DarkGate”威胁欧洲Windows用户

挖矿软件“DarkGate”威胁欧洲Windows用户

黑客软件访客2021-10-11 15:59:0011543A+A-

欧洲的Windows用户最近成为复杂恶意软件活动的目标,该活动为攻击者提供了多种攻击手段,包括加密货币挖矿,凭证窃取,勒索软件和远程访问接管。

据报道,该恶意软件被其开发者命名为DarkGate,它通过伪装成流行娱乐产品(如西班牙电影Campeones和美剧《行尸走肉》)的Torrent文件进行传播。这些文件被下载后,将在下载设备上执行恶意VBscripts。 设备被感染后,第一个恶意软件与C2服务器的交互将启动挖矿进程,从那时起,DarkGate有可能进行进一步的攻击。

终端安全平台enSilo于11月13日发表文章称,该活动的目标用户主要集中在西班牙和法国。enSilo研究员Adi Zeligson于2017年12月27日发现了该威胁,他认为,DarkGate似乎与之前已知的名为Golroted的密码窃取工具密切相关。

据enSilo报道,DarkGate的密码窃取组件使用NirSoft工具窃取用户凭证、浏览器cookie、浏览器历史记录和Skype聊天记录。但研究人员发现,攻击者似乎更青睐于加密货币凭证。

除了多功能性之外,还值得注意的是,DarkGate实现了进程镂空(Process Hollowing)行为——将合法进程加载到系统上以便将其用作隐藏恶意代码的“掩护”。为了实现这一目的,DarkGate还滥用了vbc.exe或regasm.exe进程。

恶意软件还依赖于UAC(用户帐户控制)绕过功能来提升其权限。为此,它采用了两个不同的技巧,利用了定时任务DiskCleanup和合法进程文件eventvwr.exe(即Windows事件查看器Snapin Launcher)。

DarkGate的另一个显著特点是其人性化的“反应式”C2基础设施由真人构成。研究人员报道,这些操作人员“根据收到加密钱包的新感染通知采取行动”。 此外,“当操作人员检测到任何有趣的活动时,他们继续在“被感染的”机器上安装自定义远程访问工具以进行手动操作。”

为了隐藏这些特殊的C2基础设施,DarkGate对其恶意服务器(包括Akamai CDN或AWS)进行了伪装。DarkGate还采取措施通过监视沙箱或虚拟环境中常见的情况以及检查特定AV解决方案的存在来避免检测。

enSilo研究人员认为,攻击者的目标是最大限度地获取货币收益,因此倾向于将矛头指向有价值的目标,例如拥有重要计算资源的组织。

原文链接:https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 温人情票2022-05-28 21:18:17
  • 用户主要集中在西班牙和法国。enSilo研究员Adi Zeligson于2017年12月27日发现了该威胁,他认为,DarkGate似乎与之前已知的名为Golroted的密码窃取工具密切相关。据enSilo报道,DarkGate的密码窃取组件使用NirSoft工具窃取
  • 野欢迷麇2022-05-28 17:12:35
  • 其人性化的“反应式”C2基础设施由真人构成。研究人员报道,这些操作人员“根据收到加密钱包的新感染通知采取行动”。 此外,“当操作人员检测到任何有趣的活动时,他们继续在“被感染的”机器上安装自定义远程访问工具以进行手动操作。”为了隐藏这些特殊的C2基础设施,DarkGate对其恶意服务器
  • 鸽吻梦冥2022-05-28 17:31:59
  • 机器上安装自定义远程访问工具以进行手动操作。”为了隐藏这些特殊的C2基础设施,DarkGate对其恶意服务器(包括Akamai CDN或AWS)进行了伪装。DarkGate还采取措施通过监视沙箱或虚拟环境中常见的情况以及检查特定AV解决方案的存在来避免检测。enSil

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理