Цифровой хамелеон: новый DarkGate – испытание для антивирусов

Специалисты SonicWall обнаружили новую волну фишинговых атак, распространяющих вредоносное ПО DarkGate. Злоумышленники используют PDF-файлы, маскирующиеся под счета-фактуры, чтобы заразить компьютеры жертв.

Кампания направлена на распространение RAT -трояна DarkGate, который активно используется с 2018 года и распространяется по модели MaaS (Malware-as-a-Service). Новая версия DarkGate 6.6 обладает множеством опасных функций, таких как обход виртуальных машин, антивирусов, задержка выполнения и подмена процессов, что делает версию крайне сложной для обнаружения и устранения.

В рассматриваемой кампании вредоносный PDF-файл выглядит как счет от 26 июня 2024 года и содержит кнопку для скачивания, которая перенаправляет жертву на скомпрометированный сайт для загрузки вредоносного VBScript-файла.

VBScript сильно запутан: имена функций и переменных зашифрованы, а объемные комментарии затрудняют чтение кода. Вредоносное ПО хранит сжатые данные в комментариях в конце VBScript и извлекает их с помощью регулярных выражений. Затем троян запускает скомпилированный скрипт AutoIt3 (AU3), который выполняет дальнейшие команды по загрузке DarkGate.

Вредоносное ПО начинает свою работу с инициализации версии «6.6» и загружает необходимые DLL-библиотеки. Затем DarkGate инициализирует ключи шифрования для дальнейшей работы с данными. Ключи генерируются на основе уникальных идентификаторов системы (ID продукта и имя процессора).

Также DarkGate использует сложные методы обхода антивирусного ПО. Вредоносное ПО проверяет наличие более чем 20 популярных антивирусных программ и меняет своё поведение в зависимости от обнаруженных защитных мер. Если на системе обнаружена конкретная антивирусная программа, DarkGate устанавливает соответствующие флаги и адаптируется для обхода защиты.

В случае обнаружения тестовой среды, например, при наличии файла «c: emp est.txt», вредоносное ПО автоматически завершает свою работу, что также может использоваться для предотвращения заражения.

Кроме того, DarkGate собирает и отправляет на командный сервер множество данных с заражённой машины, таких как активное окно, время работы системы, статус администратора и версию DarkGate. Коммуникация с C2-сервером осуществляется через HTTP или HTTPS, в зависимости от настроек.

Для предотвращения обнаружения и анализа, DarkGate использует различные методы шифрования и запутывания кода, что делает его крайне сложным для анализа и устранения. Вредоносное ПО поддерживает выполнение более 65 различных команд, включая запуск дополнительных вредоносных программ, сбор данных и выполнение атак на системе жертвы.

Одна из команд также извлекает записку с требованием выкупа и доставляет полезную нагрузку программы-вымогателя. Записка помещается в каталог «C: emp», затем запускается двоичный файл программы-вымогателя.

Пользователи должны быть крайне осторожны с получаемыми по электронной почте файлами и всегда проверять подлинность источников, чтобы избежать заражения. Специалисты по кибербезопасности продолжают работать над обнаружением и нейтрализацией подобных угроз.