Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Обновлённый RAT избегает обнаружения, используя AutoHotkey

05/06/24

hack24-Jun-05-2024-10-33-27-8838-AM

Вредоносная программа DarkGate, распространяемая по модели MaaS (Malware-as-a-Service), изменила метод доставки финальных этапов, перейдя от скриптов AutoIt к механизму AutoHotkey. Эта смена подчёркивает стремление киберпреступников постоянно опережать системы обнаружения угроз, пишет Securitylab.

Наблюдения показали, что обновления появились в DarkGate версии 6, выпущенной в марте 2024 года разработчиком по имени RastaFarEye. Программа активно продаётся по подписке и используется примерно 30 клиентами.

Вредонос DarkGate известен с 2018 года и является полнофункциональным трояном удалённого доступа (RAT), оснащённым C2 и руткит возможностями. Программа включает модули для кражи учётных данных, кейлоггинга, захвата экрана и удалённого рабочего стола.

«Кампании DarkGate быстро адаптируются, модифицируя различные компоненты, чтобы избегать обнаружения системами безопасности», — отметил исследователь безопасности Trellix в своём анализе. «Это первый случай, когда мы обнаружили использование AutoHotkey для запуска DarkGate».

Переход на AutoHotkey впервые задокументирован McAfee Labs в конце апреля 2024 года. Атаки используют уязвимости, такие как CVE-2023-36025 и CVE-2024-21412, чтобы обойти защиту Microsoft Defender SmartScreen, применяя Microsoft Excel или HTML-вложения в фишинговых письмах.

Альтернативные методы используют Excel-файлы со встроенными макросами для выполнения Visual Basic Script, который вызывает PowerShell-команды, в конечном итоге запускающие скрипт AutoHotkey. Этот скрипт загружает и декодирует полезную нагрузку DarkGate из текстового файла.

Новая версия DarkGate включает значительные улучшения конфигурации, техник уклонения и доступных команд. Теперь она поддерживает функции записи звука, управления мышью и клавиатурой.

«Версия 6 не только добавила новые команды, но и убрала некоторые из предыдущих версий, такие как повышение привилегий, криптомайнинг и скрытое виртуальное сетевое управление (hVNC)», — добавили в Trellix, предположив, что это может быть сделано для сокращения функций, способных вызвать обнаружение.

Также стоит отметить, что DarkGate продаётся ограниченному числу клиентов, что и могло повлиять на решение RastaFarEye об удалении некоторых функций.

Таким образом, недавнее изменение функционала DarkGate демонстрирует стремление авторов вредоноса к инновациям и повышению эффективности своих атак, подчёркивая необходимость постоянного мониторинга и быстрого реагирования со стороны отрасли кибербезопасности для защиты от новых изощренных угроз.

Темы:УгрозыХакерские атакиTrellixRAT-трояны
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...