DarkGate zlonamjerni softver evoluirao
DarkGate zlonamjerni softver evoluirao je u kompletan alat koji zlonamjernim akterima pruža široke mogućnosti da u potpunosti pristupe ciljnim sistemima.
DARKGATE
DarkGate je kompletan zlonamjerni alat koji zlonamjernim akterima pruža široke mogućnosti da u potpunosti kompromituju sisteme žrtava. Razvija ga zlonamjerni programer pod nazivom RastaFarEye koji nudi DarkGate preko modela zasnovanog na pretplati (eng. Malware-as-a-Service – MaaS) koji košta do 15.000 američkih dolara mjesečno, koji pravda visoku cijenu tvrdnjom da je zlonamjerni softver u stalnom razvoju od 2017. godine.
Sigurnosna kompanija Fortinet je 2018. godine otkrila jedan od prvih uzoraka ovog zlonamjernog softvera koji je korišten za rudarenje kriptovaluta i distribuciju ransomvare zlonamjernog softvera. Ovaj zlonamjerni softver nije privlačio posebnu pažnju sve do 2021. godine kada je ažurirana verzija pokazala mnoge tehnike koje se i danas koriste u trenutnoj verziji DarkGate zlonamjernog softvera kao što je upotreba AutoIt koji omogućava automatizaciju Windows kompjuterskih skripti kako bi se isporučio aktivni dio virusa ili kompletnog RAT modula za kontrolu udaljenih sistema.
Sredinom 2023. godine programer DarkGate zlonamjernog softvera počinje reklamirati novu verziju na forumima na Mračnom Internetu sa novim funkcijama koje su obuhvatale hVNC, menadžer datoteka, Discord kradljivac i kradljivac podatka iz Internet pregledača, praćenje korisničke aktivnost unosa podataka (eng. keylogger), rootkit modul i slično. Pored toga, zlonamjerni programer je obećavao i potpuno izbjegavanje svih bezbjednosnih proizvoda za zaštitu korisnika sa kompletnom komandnom i kontrolnom tablom za praktičnu kontrolu nad botovima od strane kupaca.
DARKGATE AŽURIRANJE
Sigurnosni istraživači u avgustu 2023. godine otkrivaju kampanju koja koristi DarkGate v4 i nakon analize objavljuju alate za analizu i dešifrovanje kako bi olakšali buduće praćenje ovog zlonamjernog softvera. Ovo je odmah privuklo pažnju RastaFarEye programera koji je objavio unapređenja za DarkGate zlonamjerni softver kako bi izbjegao analizu i dešifrovanje. Uz to ovaj programer konstantno objavljuje ažuriranja za ovaj zlonamjerni softver kako bi bio u mogućnosti da izbjegava sigurnosne alate za zaštitu korisnika.
Krajem septembra 2023. godine RastaFarEye programer najavljuje novu unaprijeđenu verziju DarkGate v5 koja bi trebalo da bude objavljena tokom oktobra zbog sve većeg interesa sigurnosnih istraživača i proizvođača sigurnosnog softvera. Najavljeno je da će nova verzija biti veoma unaprijeđena sa potpunom preradom glavnog kôda zlonamjernog softvera.
DARKGATE DISTRIBUCIJA
Distribucija ovog zlonamjernog softvera se prvenstven odvija preko phishing kampanja korištenjem elektronske pošte kao vektora napada, gdje se napada odvija preko Visual Basic skripti (VBS) ili Microsoft Software Installer (MSI) alata za instalaciju. Pored toga, u nekim kampanjama DarkGate zlonamjerni softver je počeo da koristi novi način infekcije u početnoj fazi putem aplikacija za saradnju kao što je Microsoft Teams i Skype.
DARKGATE EVOLUCIJA
DarkGate v4 koja je objavljena u junu 2023. godine uključivala sofisticirane taktike izbjegavanja, komandne i kontrolne mogućnosti, kao i razne module za krađu akreditiva, praćenje korisničke aktivnost unosa podataka, snimanje ekrana i druge funkcije. Novi lanac izvršavanja koji podrazumijeva bočno učitavanje DLL datoteka i poboljšanje kôdova komandnog okruženja i program za učitavanje su predstavljeni DarkGate v5, ali još uvijek uključuje su zadržane funkcionalnosti prethodne verzije kao što su AutoIT skripte i korištenje Visual Basic skripti (VBS) ili Microsoft Software Installer (MSI) alata za instalaciju u prvoj fazi napada.
ZAKLJUČAK
Analiza DarkGate zlonamjernog softvera pokazuje da je on više od jednog zlonamjernog softvera, jer integriše širok spektra funkcionalnosti. To se vidi iz toga što on ne samo da krade korisničke informacije iz inficiranih sistema i izbjegava antivirusni softver, već ima različite mehanizme izvršavanja počevši od samog početka do komandne i kontrolne table.
Pored toga, zlonamjerni programer koji stoji iza ovog zlonamjernog softvera aktivno prati izvještaje sigurnosnih istraživača i proizvođača bezbjednosnih riješenja kako bi izvršio brze promjene u svom proizvodu i izbjegao otkrivanje. Njegova prilagodljivost, brzina kojom se ponavlja i dubina njegovih metoda izbjegavanja potvrđuju pokazuju sofisticiranost.
RastaFarEye naplaćuje za DarkGate zlonamjerni softver visoku mjesečnu pretplatu od 15.000 američkih dolara, što je nedostupno većini potencijalnih kupaca. Prema dostupnim informacijama samo 30 zlonamjernih korisnika je uspjelo da dobije pristup novoj verziji zbog ograničenog izdavanja nove verzije, pa se smatra ograničenim zlonamjernim softverom kao uslugom – MaaS u odnosu na prethodnu verziju. Uprkos ograničenoj bazi klijenata, veoma je važno naglasiti ozbiljnost ove sajber prijetnje, jer je DarkGate v4 je privukao veliku pažnju i masovno je rasprostranjen po čitavom svijetu.
ZAŠTITA
Korisnicima se preporučuje korištenja sveobuhvatnog softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji može da obezbijedi dodatnu zaštitu od pratnji zlonamjernog softvera poput ove koju predstavlja DarkGate. EDR rješenja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera pre nego što dođe do značajnije štete. Korisnicima se takođe preporučuje i da:
- Budu oprezni prilikom pretraživanja Interneta, jer lažni i opasni sadržaji obično izgledaju autentični i bezopasni.
- Budu oprezi i sa dolaznim porukama elektronske pošte, kao i drugim porukama. Prilozi i veze pronađeni u sumnjivoj ili nerelevantnoj pošti se ne smiju otvarati, jer mogu biti zlonamjerni.
- Sva preuzimanja na Internetu trebaju biti obavljena sa zvaničnih i provjerenih kanala.
- Aktivaciju i ažuriranje softvera obavljati korištenjem legitimnih alata ili funkcija, pošto nelegalni alati za aktivaciju (alati za “krekovanje”) i softveri za ažuriranje trećih strana mogu da sadrže zlonamjerni softver.
- Koriste ažuriran antivirusni softver renomiranog proizvođača. Sigurnosni programi se moraju koristiti za pokretanje redovnih skeniranja sistema i za uklanjanje prijetnji ili problema.