Se preparando
May 26, 2023Nuh violência: a punição com escavadeiras está atropelando a justiça na Índia?
May 27, 2023Empregador e capataz acusado criminalmente de morte no local de trabalho em Burnaby há 11 anos
May 28, 2023A escavadeira de Wike ruge em Abuja, primeiro prédio não aprovado demolido
May 29, 2023Boskalis aumenta frota de energia offshore
May 30, 2023Carregador DarkGate entregue por meio de threads de e-mail roubados
A pesquisa revelou alta atividade de malspam do malware DarkGate distribuído via e-mails de phishing aos usuários por meio de arquivos MSI ou cargas úteis de script VBs.
O malware Darkgate está ativo desde 2018 e tem a capacidade de baixar e executar arquivos na memória, um módulo Hidden Virtual Network Computing (HVNC), keylogging, recursos de roubo de informações e escalonamento de privilégios.
Um usuário RastaFarEye tem anunciado DarkGate Loader no xss[.]é uma exploração[.]em fóruns de crimes cibernéticos desde 16 de junho de 2023, com diferentes modelos de preços.
“O atual aumento na atividade de malware DarkGate é plausível, dado o fato de que o desenvolvedor do malware começou recentemente a alugá-lo para um número limitado de afiliados”, disse a Telekom Security.
Inicialmente, os e-mails de phishing distribuíam a carga com a variante MSI ou a variante VBScript.
O ataque começa clicando no URL de phishing que redireciona o usuário para o site de phishing por meio de um sistema de distribuição de tráfego (TDS).
Posteriormente, será baixado o arquivo MSI, que executa o script AutoIt para executar um shellcode que atua como um canal para descriptografar e iniciar o DarkGate por meio de um criptografador (ou carregador).
Enquanto a carga útil do Visual Basic Script usa cURL para recuperar o executável do AutoIt e o arquivo de script para executar o malware.
Após a inicialização bem-sucedida do malware darkgate, o malware gravará uma cópia de si mesmo no disco e criará uma chave de execução do registro para persistir a execução entre as reinicializações.
Ele também pode encerrar o processo quando for detectado pelo AV e alterar seu comportamento de acordo com o conhecido produto AV.
O malware pode consultar diferentes fontes de dados para obter informações sobre o sistema operacional, o usuário conectado, os programas em execução no momento e outras coisas.
O malware usa várias ferramentas freeware legítimas publicadas pela Nirsoft para extrair dados confidenciais.
O malware pesquisa periodicamente o servidor C2 em busca de novas instruções, executa os comandos recebidos e, finalmente, envia de volta os resultados ao servidor C2.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Google News, Linkedin, Twitter e Facebook.
Salve meu nome, e-mail e site neste navegador para a próxima vez que eu comentar.
Execução de AtaqueCOIMantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Google News, Linkedin, Twitter e Facebook.