Исследователи «Лаборатории Касперского» обнаружили новый загрузчик DarkGate, автор которого утверждает, что начал работу над вредоносом еще в 2017 году, в общей сложности потратив на разработку более 20 000 часов.

DarkGate обладает расширенными функциями по сравнению с обычной малварью такого типа. В числе возможностей DarkGate: скрытое VNC-подключение, обход Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение воровать токены Discord и так далее. Хотя в изученном экспертами образце присутствовали не все эти функции, их можно было активировать или отключить в билдере.

Аналитикам удалось восстановить полную цепочку заражения, состоящую из четырех этапов, до момента загрузки финальной полезной нагрузки — самого DarkGate.

  1. VBS-загрузчик. Простой скрипт, который задает несколько переменных окружения, чтобы обфусцировать последующие вызовы команд. Затем с командного сервера скачиваются два файла (Autoit3.exe и script.au3). Файл Autoit3.exe запускается, при этом script.au3 передается в качестве аргумента.
  2. Скрипт AutoIT V3. AutoIT V3 — скриптовый язык типа BASIC. Его часто используют разработчики вредоносного ПО, так как он позволяет имитировать нажатия клавиш, перемещения мыши и многое другое. Скрипт обфусцируется перед выполнением, но при этом загружает в память встроенный шелл-код и затем выполняет его.
  3. Шелл-код. Шелл-код работает довольно просто: он создает PE-файл в памяти, динамически разрешает таблицу импорта и передает этому файлу управление.
  4. Исполнитель DarkGate (PE-файл, созданный шелл-кодом). Исполнитель загружает файл script.au3 в память и находит в нем зашифрованный блок данных, который расшифровывается с использованием XOR-ключа и операции NOT. В результате получается PE-файл, чья таблица импорта разрешается динамически. Последний этап — загрузчик DarkGate.

Эксперты отмечают, что также интерес представляет и  способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Помимо DarkGate за последние месяцы эксперты обнаружили и новые образцы Emotet, а также новую кампанию с использованием стилера LokiBot.

В компании рассказывают, что теперь Lokibot нацелен на организации, занимающиеся морскими перевозками грузов. Инфостилер, впервые обнаруженный в 2016 году, предназначен для кражи учетных данных из разных приложений, в том числе браузеров и FTP-клиентов.

Фишинговые письма, рассылаемые в рамках данной кампании, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведет к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.

После запуска вредонос собирает учетные данные из различных источников и сохраняет их в свой буфер обмена, а затем передает на командный сервер. Данные отправляются в POST-запросах, сжатых с помощью библиотеки APLib. После отправки информации о системе малварь ожидает дополнительные команды от C&C-сервера. Сервер может отправить команду скачать дополнительную малварь, запустить кейлоггер и так далее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии