Исследователи «Лаборатории Касперского» обнаружили новый загрузчик DarkGate, автор которого утверждает, что начал работу над вредоносом еще в 2017 году, в общей сложности потратив на разработку более 20 000 часов.
DarkGate обладает расширенными функциями по сравнению с обычной малварью такого типа. В числе возможностей DarkGate: скрытое VNC-подключение, обход Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение воровать токены Discord и так далее. Хотя в изученном экспертами образце присутствовали не все эти функции, их можно было активировать или отключить в билдере.
Аналитикам удалось восстановить полную цепочку заражения, состоящую из четырех этапов, до момента загрузки финальной полезной нагрузки — самого DarkGate.
- VBS-загрузчик. Простой скрипт, который задает несколько переменных окружения, чтобы обфусцировать последующие вызовы команд. Затем с командного сервера скачиваются два файла (Autoit3.exe и script.au3). Файл Autoit3.exe запускается, при этом script.au3 передается в качестве аргумента.
- Скрипт AutoIT V3. AutoIT V3 — скриптовый язык типа BASIC. Его часто используют разработчики вредоносного ПО, так как он позволяет имитировать нажатия клавиш, перемещения мыши и многое другое. Скрипт обфусцируется перед выполнением, но при этом загружает в память встроенный шелл-код и затем выполняет его.
- Шелл-код. Шелл-код работает довольно просто: он создает PE-файл в памяти, динамически разрешает таблицу импорта и передает этому файлу управление.
- Исполнитель DarkGate (PE-файл, созданный шелл-кодом). Исполнитель загружает файл script.au3 в память и находит в нем зашифрованный блок данных, который расшифровывается с использованием XOR-ключа и операции NOT. В результате получается PE-файл, чья таблица импорта разрешается динамически. Последний этап — загрузчик DarkGate.
Эксперты отмечают, что также интерес представляет и способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).
Помимо DarkGate за последние месяцы эксперты обнаружили и новые образцы Emotet, а также новую кампанию с использованием стилера LokiBot.
В компании рассказывают, что теперь Lokibot нацелен на организации, занимающиеся морскими перевозками грузов. Инфостилер, впервые обнаруженный в 2016 году, предназначен для кражи учетных данных из разных приложений, в том числе браузеров и FTP-клиентов.
Фишинговые письма, рассылаемые в рамках данной кампании, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведет к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.
После запуска вредонос собирает учетные данные из различных источников и сохраняет их в свой буфер обмена, а затем передает на командный сервер. Данные отправляются в POST-запросах, сжатых с помощью библиотеки APLib. После отправки информации о системе малварь ожидает дополнительные команды от C&C-сервера. Сервер может отправить команду скачать дополнительную малварь, запустить кейлоггер и так далее.