Studiuesit e Trend Micro zbuluan se DarkGate ishte instaluar gjithashtu përmes llogarive të komprometuara të Skype. Kriminelët kibernetikë dërgojnë mesazhe me një skript VBA që çon në shkarkimin e malware në kompjuterin tuaj. Kjo është një metodë e re e shpërndarjes, pas atyre që përfshijnë phishing dhe keqvertim.
DarkGate: Sulmet në rritje
DarkGate nuk është malware i fundit. Raportet e para datojnë në vitin 2017, por sulmet janë shtuar prej disa muajsh. Është një ngarkues që ofron disa veçori: ekzekutimi i komandave, aksesi në distancë, miniera e kriptomonedhave, regjistrimi i çelësave, përshkallëzimi i privilegjeve dhe vjedhja e të dhënave nga shfletuesit.
Studiuesit e Trend Micro nuk zbuluan se si u komprometuan llogaritë e Skype (ndoshta përmes kredencialeve të vjedhura), por ata rindërtuan zinxhirin e infeksionit. Pasi arritën të futeshin fshehurazi në bisedën e korporatës, kriminelët kibernetikë dërguan një skript VBA që dukej si një skedar PDF.
Kur viktima që nuk dyshon drejton skriptin, krijohet një direktori në të cilën kopjohet skedari legjitim curl.exe, i përdorur për të shkarkuar mjetin AutoIt që shkarkon skriptin fIKXNA.au3. Ky i fundit përmban malware DarkGate, i ngarkuar në memorie nëpërmjet kodit shell të injektuar në procese legjitime. Për të arritur qëndrueshmëri, një skedar LNK shtohet në direktorinë Autorun.
DarkGate mund të shkarkojë ngarkesa të tjera, duke përfshirë versionet e përditësuara të të njëjtit malware, vjedhësit e informacionit, ransomware dhe minatorët e kriptomonedhave. Kompanitë që pranojnë mesazhe nga jashtë duhet të miratojnë kontrolle më të rrepta dhe të bllokojnë bashkëngjitjet dhe domenet. Për të shmangur vjedhjen e kredencialeve të llogarisë, rekomandohet padyshim aktivizimi i vërtetimit me shumë faktorë. Microsoft ka njoftuar se do të heqë mbështetjen për VBScript në një version të ardhshëm të Windows.
Discussion about this post