Napadi koji koriste malver DarkGate ciljaju entitete u Velikoj Britaniji, SAD-u i Indiji i povezani su s vijetnamskim hakerima koji koriste zloglasnog kradljivca Ducktail.
“Preklapanje alata i kampanja je vrlo vjerovatno zbog efekata tržišta sajber kriminala”, navodi WithSecure u izvještaju objavljenom danas. “Hakeri mogu nabaviti i koristiti više različitih alata za istu svrhu, a sve što treba da urade je da smisle ciljeve, kampanje i mamce.”
Razvoj događaja dolazi usred porasta kampanja malvera koji koriste DarkGate u posljednjih nekoliko mjeseci, prvenstveno potaknut odlukom njegovog autora da ga iznajmljuje na osnovu malware-as-a-service (MaaS) drugim hakerima nakon što ga je privatno koristio od 2018.
Nisu samo DarkGate i Ducktail, jer vijetnamski klaster hakera odgovornih za ove kampanje koristi iste ili vrlo slične mamce, teme, ciljanje i metode isporuke kako bi također isporučio LOBSHOT i RedLine Stealer.
Lanci napada koji distribuišu DarkGate karakteriše upotreba AutoIt skripti koje se preuzimaju putem Visual Basic skripte poslane putem phishing e-pošte ili poruka na Skype-u ili Microsoft timovima. Izvršenje skripte AutoIt dovodi do postavljanja DarkGate-a.
U ovom slučaju, međutim, inicijalni vektor infekcije bila je LinkedIn poruka koja je žrtvu preusmjerila na fajl koji se nalazi na Google Drive-u, tehnika koju obično koriste Ducktail hakeri.
“Vrlo slične teme kampanje i mamci korišteni su za isporuku Ducktail i DarkGate”, rekao je WithSecure, iako se funkcija završne faze u velikoj mjeri razlikuje.
Dok Ducktail funkcioniše kao kradljivac, DarkGate je trojanac za daljinski pristup (RAT) sa mogućnostima krađe informacija koji takođe uspostavlja prikrivenu upornost na kompromitovanim hostovima za pristup backdoor-u.
“DarkGate postoji već duže vrijeme i koriste ga mnoge grupe u različite svrhe, a ne samo ova grupa ili klaster u Vijetnamu”, rekao je sigurnosni istraživač Stephen Robinson, viši analitičar za obavještavanje prijetnji u WithSecureu.
“Povratna strana ovoga je ta što hakeri mogu koristiti više alata za istu kampanju, što bi moglo prikriti pravi obim njihove aktivnosti od analize zasnovane isključivo na malveru.”
Izvor: The Hacker News