Исследователи из McAfee Labs обнаружили новую цепочку заражения, связанную с вредоносным ПО DarkGate.
DarkGate - это троянская программа удаленного доступа (RAT), которая продается на одном из русскоязычных киберпреступных форумов как предложение «вредоносное ПО как услуга» (MaaS) по крайней мере с 2018 года. Вредоносная программа обладает широким набором функциональных возможностей, таких как внедрение процессов, загрузка и исполнение файлов, кража данных, выполнение команд оболочки, возможность кейлоггинга и др. DarkGate использует многочисленные тактики уклонения от обнаружения, в частности, обходит Microsoft Defender SmartScreen (CVE-2023-36025), что побудило Microsoft впоследствии выпустить патч для устранения этой уязвимости.
McAffee Labs обнаружила новую цепочку заражения, связанную с DarkGate, которая имеет два разных начальных вектора, несущих идентичный шелл-код DarkGate и полезную нагрузку. Первый вектор исходит из HTML-файла, а второй начинается с XLS-файла. При взаимодействии с любым из этих файлов выполняется файл VBScript. Эксплуатируя CVE-2023-36025, злоумышленники обходят подсказки защиты SmartScreen, используя файл ярлыка Windows (.url), содержащий файл сценария в качестве части вредоносной полезной нагрузки. Файл VBScript сбрасывает файл в указанное место, что приводит к выполнению последовательности команд, которые в конечном итоге загружают и исполняют вредоносное содержимое, включая скомпилированный в Delphi исполняемый файл, представляющий собой конечную полезную нагрузку DarkGate. Эта полезная нагрузка участвует в сетевой активности на сайте C2 в целях эксфильтрации, сохраняя при этом устойчивость благодаря файлу .lnk, помещенному в папку запуска, что обеспечивает выполнение AutoHotkey и файлов шеллкода для продолжения вредоносной активности.
Indicators of Compromise
IPv4
- 5.252.177.207
SHA256
- 038db3b838d0cd437fa530c001c9913a1320d1d7ac0fd3b35d974a806735c907
- 10e362e18c355b9f8db9a0dbbc75cf04649606ef96743c759f03508b514ad34e
- 196bb36f7d63c845afd40c5c17ce061e320d110f28ebe8c7c998b9e6b3fe1005
- 1a960526c132a5293e1e02b49f43df1383bf37a0bbadd7ba7c106375c418dad4
- 2b296ffc6d173594bae63d37e2831ba21a59ce385b87503710dc9ca439ed7833
- 2e34908f60502ead6ad08af1554c305b88741d09e36b2c24d85fd9bac4a11d2f
- 4de0e0e7f23adc3dd97d498540bd8283004aa131a59ae319019ade9ddef41795
- 6ed1b68de55791a6534ea96e721ff6a5662f2aefff471929d23638f854a80031
- 897b0d0e64cf87ac7086241c86f757f3c94d6826f949a1f0fec9c40892c0cecb
- dd7a8b55e4b7dc032ea6d6aed6153bec9b5b68b45369e877bb66ba21acc81455
