Эксперты по кибербезопасности из enSilo проанализировали новую угрозу для пользователей: модульного Windows-зловреда DarkGate, который способен сразу на многое: воровать учетные данные, добывать криптовалюту, шифровать файлы и открывать удаленный доступ к зараженной машине.
В настоящее время активность зловреда-полифункционала ограничена территорией Западной Европы и особенно высока в Испании и Франции. Впервые его активность была зафиксирована в конце декабря прошлого года.
DarkGate распространяют через торрент-файлы и вредоносные вложения в поддельные письма. Цепочка заражения начинается с дроппера VBscript, который, по словам экспертов, уже загружает непосредственно в систему несколько файлов, в том числе скрипт AutoIt, шелл-код и основной компонент, отвечающий за связь с C&C-сервером и выполнение получаемых команд.
DarkGate использует технику внедрения кода, известную как process hollowing. То есть, зловред создает новый экземпляр процесса vbc.exe или regasm.exe в состоянии ожидания и затем подменяет легитимный код вредоносным посредством манипуляций с выделенной памятью. Любопытно, что вредонос умен, и если он обнаруживает на компьютере жертвы антивирус «Лаборатории Касперского», то отказывается от этого трюка и загружает вредоносный код в память как часть шелл-кода.
Чтобы повысить свои привилегии, зловред пускает в ход механизмы обхода UAC, основанные на использовании запланированной задачи DiskCleanup или легитимного процесса eventvwr.exe (соответствует компоненту Event Viewer Snapin Launcher, позволяющему удаленно или локально просматривать журнал событий).
Вообще DarkGate богат не только функционалом но и средствами самозащиты: он способен определять свой запуск в песочнице или виртуальной машине и вооружен списком из двух десятков процессов, соответствующих популярным антивирусным решениям. Обнаружив совпадение с какой-либо позицией, он сообщает об этом в центр управления. На разные антивирусы DarkGate реагирует по-разному: процессы IOBit он сразу пытается завершить, в присутствии антивируса Trend Micro воздерживается от запуска кейлоггера, а наличие защиты от «Лаборатории Касперского» проверяет несколько раз очень тщательно.
После первого обращения к центру управления DarkGate загружает и запускает криптомайнер. Его компонент, предназначенный для хищения информации, позволяет красть учетные данные, куки из браузеров, историю браузера и сообщения Skype. Однако больше всего операторов зловреда интересуют криптокошельки. Управление DarkGate осуществляется в ручном режиме, так что его хозяева сразу реагируют на сообщения о подобных находках и загружают на зараженную машину кастомный инструмент удаленного администрирования.
Читайте также другие материалы от АКБ на эту тему:
Крыса-троян FlawedAmmyy впервые прополз в топ-10 киберугроз
Полизловредный троян для Android стремится прикинуться Google Play
Зловред в наши дни должен быть на все руки: «Лаборатория Касперского» фиксирует поворот тренда
