DarkGate Malware

DarkGate として知られる容易に入手可能なマルウェアを利用したマルスパム キャンペーンが明るみに出ました。サイバーセキュリティ研究者らは、DarkGate マルウェア活動の増加は、このマルウェア開発者がサイバー犯罪パートナーの選ばれたグループにレンタル提供するという最近の決定を行ったことによる可能性が高いと示唆しています。この脅威の展開は、侵害された電子メール スレッドを悪用して受信者を騙し、知らずにマルウェアをダウンロードさせる大規模なキャンペーンにも関連しています。

DarkGate マルウェアは多段階の攻撃プロセスを通じて配信される

この攻撃は、被害者をフィッシング URL に誘導することで開始され、クリックされるとトラフィック ディレクション システム (TDS) を通過します。目標は、特定の条件下で、何も知らない被害者を MSI ペイロードに誘導することです。これらの条件の 1 つは、HTTP 応答にリフレッシュ ヘッダーが存在することです。

MSI ファイルを開くと、複数段階のプロセスがトリガーされます。このプロセスには、AutoIt スクリプトを利用してシェルコードを実行することが含まれます。これは、クリプターまたはローダーを介して DarkGate 脅威を復号化して起動する手段として機能します。より正確に言うと、ローダーは AutoIt スクリプトを分析し、そこから暗号化されたペイロードを抽出するようにプログラムされています。

これらの攻撃の別バージョンも観察されています。 MSI ファイルの代わりに、cURL を使用して AutoIt 実行可能ファイルとスクリプト ファイルの両方を取得する Visual Basic スクリプトが使用されます。 VB スクリプトの配信に使用される正確な方法は、現時点では不明です。

DarkGate は侵害されたデバイスに対して多数の有害なアクションを実行する可能性があります

DarkGate は、セキュリティ ソフトウェアによる検出の回避、Windows レジストリの変更による永続性の確立、特権の昇格、Web ブラウザや Discord や FileZilla などのソフトウェア プラットフォームからのデータの盗用を可能にする幅広い機能を誇ります。

さらに、コマンド アンド コントロール (C2) サーバーとの通信を確立し、ファイルの列挙、データ抽出、暗号通貨マイニング操作の開始、リモート スクリーンショット キャプチャ、さまざまなコマンドの実行などのアクションを可能にします。

この脅威は主に、サブスクリプション モデルに基づいてアンダーグラウンド フォーラムで販売されます。提供される価格は、1 日あたり 1,000 ドルから 1 か月あたり 15,000 ドル、さらには年間 100,000 ドルまでさまざまです。このマルウェアの作成者は、このマルウェアを「侵入テスター/レッドチーム向けの究極のツール」として宣伝し、おそらく他のどこにも見られない独自の機能を強調しています。興味深いことに、サイバーセキュリティ研究者は、ランサムウェア モジュールも含まれていた DarkGate の初期のバージョンを発見しました。

フィッシング攻撃に使われる手口に騙されないようにしましょう

フィッシング攻撃は、スティーラー、トロイの木馬、マルウェア ローダーなど、さまざまなマルウェア脅威の主な配信経路です。このようなフィッシングの試みを認識することは、安全を確保し、デバイスを危険なセキュリティやプライバシーのリスクにさらさないために非常に重要です。注意すべき典型的な危険信号をいくつか示します。

• • 不審な送信者アドレス: 送信者の電子メール アドレスを注意深く確認してください。スペルミスや余分な文字が含まれている場合、または所属していると主張する組織の公式ドメインと一致しない場合は注意してください。

• • 不特定の挨拶: フィッシングメールでは、名前で呼びかける代わりに、「ユーザー様」などの一般的な挨拶が使用されることがよくあります。正規の組織は通常、コミュニケーションをパーソナライズします。

• • 緊急または脅迫的な文言: フィッシングメールは、緊急性や恐怖感を引き起こし、即時の行動を促す傾向があります。あなたのアカウントが停止されたと主張するかもしれません。さもなければ、すぐに行動しなければ何らかの結果に直面することになります。

• • 個人情報に関する異常な要求: パスワード、社会保障番号、クレジット カードの詳細などの機密情報を要求する電子メールには注意してください。正当な組織は、電子メールでそのような情報を要求することはありません。

• • 異常な添付ファイル: 不明な送信者からの添付ファイルを開かないでください。マルウェアが含まれている可能性があります。たとえ添付ファイルに見覚えがあるように見えても、それが予期せぬものであったり、すぐに行動を起こす必要がある場合には注意してください。

• • 信じられないようなオファー: フィッシングメールは、信じられないほどの報酬、賞品、またはオファーを約束し、悪意のあるリンクをクリックさせたり、個人情報を提供させたりすることを目的としている可能性があります。

• • 予期しないリンク: 予期せずリンクが含まれるメールには注意してください。クリックする代わりに、公式 Web サイトのアドレスをブラウザに手動で入力します。

• • 感情操作: フィッシングメールは、ユーザーにリンクにアクセスさせたり、添付ファイルをダウンロードさせたりするために、好奇心、同情、興奮などの感情を引き起こそうとする可能性があります。

• • 連絡先情報の欠如: 通常、正規の組織が連絡先情報を提供します。電子メールにこの情報が含まれていない場合、または一般的な電子メール アドレスしか記載されていない場合は、注意してください。

警戒を怠らず、これらの危険信号について自分自身を教育することは、フィッシングの試みから身を守るのに大いに役立ちます。疑わしい電子メールを受け取った場合は、何らかの措置を講じる前に、公式チャネルを通じてその正当性を確認することをお勧めします。