一種名為DarkGate 的不祥惡意軟體已進入數位領域。這種惡意軟體因其透過Skype 和Microsoft Teams 等即時通訊平台傳播而聞名。這種非常規的感染途徑揭示了一種險惡的獨創性,令許多人感到震驚。
初次相遇:披著羊皮的狼
當毫無戒心的使用者透過這些訊息傳遞平台收到看似良性的PDF 文件時,就會發生攻擊。然而,Visual Basic for Applications (VBA) 載入器腳本卻隱藏在無辜的面紗之下。打開所謂的文檔後,該腳本就會立即生效。它啟動AutoIt 腳本的下載和執行。該腳本又充當DarkGate 滲透系統的閘道。
困擾我們的問題是這些訊息平台上的帳戶最初是如何被洩露的。雖然確切的路線仍然籠罩在神秘之中,但各種理論正在流傳。有些人推測,在地下論壇的黑暗角落洩漏的憑證可能是關鍵。其他人則認為,上級組織事先的妥協可能已經鋪平了道路。趨勢科技在詳細分析中強調了這個猜想,為DarkGate 的進入策略提供了一些線索。
DarkGate 揭幕:萬事通
根據Fortinet 記錄,DarkGate 於2018 年11 月首次在黑暗中亮相,它並不是普通的惡意軟體。它是一種商品惡意軟體,具有一系列惡意功能。從從網路瀏覽器收集敏感資料到參與加密貨幣挖礦,甚至向其操作員授予對受感染主機的遠端控制權,DarkGate 是一個多方面的威脅。此外,它還充當Remcos RAT 等其他惡意負載的跳板,從而放大了潛在的損害。
最近幾個月,傳播DarkGate 的社會工程活動大幅增加。這些活動採用從網路釣魚電子郵件到SEO 中毒等進入策略,以引誘謙遜的使用者落入陷阱。這一大幅上漲是在惡意軟體作者在地下論壇上宣傳DarkGate 並將其作為惡意軟體即服務提供給其他不法分子經過多年的私人使用之後發生的。
在這裡查看我們的每週加密貨幣和金融科技通訊 在X、Youtube 和TikTok 上關注CryptoMode 以獲取新聞更新
Truesec 在最近的一次揭露中強調了利用Microsoft Teams 聊天作為DarkGate 的傳播媒介。這表明該惡意軟體現在已成為多個威脅行為者的首選武器,表明威脅範圍更廣泛。根據趨勢科技的調查結果,這些攻擊的地理分佈主要中心化在美洲,其次是亞洲、中東和非洲。
策略的改變:惡意垃圾郵件活動
當Telekom Security 專注於惡意垃圾郵件活動時,DarkGate 的感染方法發生了變化,這與先前的Skype 和Teams 滲透方法不同。正如趨勢科技研究人員所闡明的,威脅行為者利用兩個組織之間的信任關係,欺騙接收者執行隨附的VBA 腳本。
一旦大門被攻破,DarkGate 就可以在受感染的系統上釋放多種惡意軟體類型。廣泛的清單包括惡意或濫用的遠端管理工具和加密貨幣貨幣礦工的資訊竊取程式和勒索軟體。如所觀察到的,只要外部訊息傳遞未被檢查或濫用,威脅就會持續存在,從而使這種初始進入技術在即時訊息應用程式中蓬勃發展。
@cryptomodedotcom 日本是世界上最好的加密貨幣國家嗎? #japan #japancrypto #crypto #cryptomode #cryptoann ♬ Pumpkin – Fred Paci 和Nobel
資訊來源:由0x資訊編譯自CRYPTOMODE。版權歸作者JP Buntinx所有,未經許可,不得轉載
0X簡體中文版:利用即時通訊平台的陰險惡意軟體– CryptoMode