Аналитическая компания AhnLab Security (ASEC) представила отчет о новой вредоносной программе, известной как DarkGate. Эта программа распространяется с использованием функции вставки - Paste (CTRL+V). Изначально, DarkGate распространялся через HTML-вложения, замаскированные под файлы MS Word, которые были отправлены в фишинговых письмах. Недавно было обнаружено, что DarkGate также распространяется через поддельные страницы проверки CAPTCHA.
LummaC2 Stealer
Метод распространения DarkGate начинается с поддельной страницы проверки CAPTCHA, где пользователю предлагается нажать кнопку "Я не робот". При нажатии на эту кнопку, команда, соединяющая с вредоносным URL, копируется в буфер обмена. Злоумышленники объясняют этот поддельный шаг аутентификации как необходимость и пытаются применить обман, чтобы заставить пользователей выполнить команду, скопированную в буфер обмена, с помощью сочетания клавиш.
Когда пользователь выполняет скопированную команду, процесс "mshta.exe" запускает HTA-файл, содержащий вредоносный скрипт с вредоносного URL. Этот файл содержит содержимое, которое не имеет никакого отношения к расширению ".mp4", и он обфусцирован, что затрудняет его определение как скрипта. После этого, HTA-файл выполняет сценарий PowerShell, который также зашифрован с использованием AES. Затем, AES-обфусцированный сценарий PowerShell загружает и выполняет дополнительный сценарий PowerShell с именем "web.png".
Вся эта цепочка действий в итоге приводит к выполнению вредоносной программы LummaC2. LummaC2 представляет собой инфохищника, который может похищать различную информацию, такую как данные браузера и криптовалюты. Кроме того, LummaC2 использует модуль с именем ClipBanker, который отслеживает буфер обмена и меняет скопированные адреса криптовалютных кошельков на адреса кошельков злоумышленников.
DarkGate является новым и подстерегающим угрозой вредоносным программным обеспечением, которое использует разнообразные обманчивые техники для распространения и заражения компьютеров. Пользователям следует быть осторожными и не выполнять подозрительные команды или операции, особенно при работе с фишинговыми письмами или подозрительными страницами в Интернете. Также рекомендуется использовать надежное антивирусное программное обеспечение для обнаружения и удаления подобного вредоносного ПО.
Indicators of Compromise
URLs
- https://cc.klipjaqemiu.shop/web.png
- https://klipjaqemiu.shop/web44.mp4
- https://noisercluch.click/api
MD5
- 3099830291f5dfb199b1f6649997fb45
- 3734e365ab10e73a85320916ba49c3ee
- af46bc7df8441c09296666f0053fb000
- e7677ec2ca8706708bcd64b7b8e7111d