DarkCloud cilja lozinke i kontakte

AUTOR ·

Kampanja zlonamjernog softvera DarkCloud koristi mamce društvenog inženjeringa za isporuku svog zlonamjernog tereta, često se maskirajući kao legitimna ažuriranja softvera ili korporativne fakture, pokazuje istraživanje Threat Response Unit kompanije eSentire. U nastavku teksta će biti riječi o taktikama koje koriste zlonamjerni akteri i kao i o načinima zaštite za korisnike i organizacije.

DarkCloud

DarkCloud cilja lozinke i kontakte; Source: Bing Image Creator

DARKCLOUD KAMPANJA

U septembru 2025. godine, sigurnosni istraživači otkrili su spear-phishing kampanju usmjerenu na Zendesk sanduče za podršku organizacija srednje veličine. U ovom slučaju, zlonamjerni akteri koristili su elektronsku poštu sa bankarskom tematikom kao mamac, imitirajući legitimnu finansijsku prepisku. Na taj način uspjeli su da izbjegnu otkrivanje bezbjednosnim mjerama osmišljenim da identifikuju šablonske pokušaje phishing napada.

Upotreba ovakvih ciljanih mamaca predstavlja obilježje naprednih postojanih prijetnji (eng. advanced persistent threat – APT), koje često uključuju opsežno istraživanje poslovanja i osoblja ciljne organizacije. Kreiranjem elektronske pošte koja djeluje relevantno i blagovremeno, zlonamjerni akteri značajno povećavaju vjerovatnoću uspjeha svojih napada.

Elektronska pošta-mamac sadržavala je zlonamjerni ZIP prilog pod nazivom “Swift Message MT103 FT2521935SVT.zip”, koji je bio dizajniran da prevari korisnike i navede ih da aktiviraju zlonamjerni softver DarkCloud ugrađen u njega.

 

Evolucija i mogućnosti

DarkCloud je identifikovan kao zlonamjerni alat koji se ranije prodavao na sada ugašenom forumu XSS.is, prije nego što je ponovo izgrađen – iz .NET programskog okruženja i prebačen je u VB6. Ova evolucija odražava napore njegovih autora da poboljšaju mogućnosti alata, uključujući dodavanje šifrovanja nizova, provjere za izbjegavanje izolovanog okruženja i unaprijeđenog izvršnog modula.

Uočeno je da DarkCloud (verzija 3.2) posjeduje širok spektar funkcionalnosti koje mu omogućavaju prikupljanje osjetljivih informacija iz kompromitovanih sistema. Jednom kada se pokrene, ovaj zlonamjerni softver može da prikuplja lozinke internet pregledača, podatke o kreditnim karticama, kolačiće, pritiske na tastere, FTP podatke za prijavu, sadržaj međuspremnika, kontakte elektronske pošte, datoteke, pa čak i kriptovalutne novčanike.

Mogućnosti DarkCloud za izvlačenje podataka dodatno su naglašene njegovom fleksibilnošću u prenosu ukradenih informacija. Podaci se mogu slati putem Telegram, FTP, SMTP ili PHP panela, što ga čini izuzetno svestranim alatom. Upravo ta kombinacija funkcionalnosti i prikrivenosti čini ga posebno opasnim za zlonamjerne aktere koji žele kompromitovati osjetljive podatke, a da pritom ostanu neotkriveni.

 

Marketinški i distributivni kanali

DarkCloud se aktivno reklamira putem adrese darkcloud.onlinewebshop[.]net i Telegram naloga @BluCoder, pri čemu se ovaj drugi predstavlja kao legitiman prodavac softvera. U ponudi navodi funkcije poput oporavka lozinki, prikupljanja otkucaja tastature, kripto-klipinga, preuzimanja datoteka i brojnih drugih mogućnosti. Ova pažljivo izgrađena fasada legitimnosti ima za cilj da obmane potencijalne kupce i navede ih da kupe ili preuzmu DarkCloud, ne shvatajući njegovu pravu, zlonamjernu prirodu.

Korištenje ovakvih marketinških kanala jasno naglašava sofisticiranost savremenih taktika distribucije zlonamjernog softvera. Zlonamjerni akteri sve češće koriste internet stranice i platforme društvenih medija koje na prvi pogled djeluju legitimno, kako bi prikrili svoje namjere i efikasno promovisali alate namijenjene kompromitovanju osjetljivih podataka.

 

Tehnička analiza

Kao što je već naglašeno, DarkCloud koristi VB6 za lokalnu kompilaciju u procesu svog kreiranja. Ovakav pristup ne samo da podsjeća na ranije greške povezane sa Redline Stealer zlonamjernim softverom, već dodatno otkriva izvorni kôd autora. Time se značajno olakšava neovlašteno grananje (eng. forks) softvera, što povećava rizik od njegovog daljeg širenja i prilagođavanja od strane drugih zlonamjernih aktera.

 

Uloga i primjena šifrovanja

Trenutno najnovija verzija DarkCloud (4.2) podržava opcionalno šifrovanje nizova putem Cezarove šifre specifične za VB6, koju postavljaju funkcije Randomize/Rnd. Ova implementacija omogućava da se šifrovani nizovi koriste kao ključni elementi u različitim kontekstima unutar rada zlonamjernog softvera.

Međutim, upravo ovakav pristup otvara prostor analitičarima da primijene obrnuti inženjering i dešifruju zamaskirane nizove. Ti nizovi često sadrže podatke za prijavu, informacije o izvlačenju podataka i krajnje tačke komandovanja i kontrole. Time se otkriva kritična ranjivost u dizajnu DarkCloud zlonamjernog softvera, jer upotreba Cezarove šifre zasnovane na funkcijama Randomize/Rnd omogućava istraživačima da dođu do osjetljivih informacija iz šifrovanih nizova. Implikacije ovoga su značajne, budući da analitičari na taj način mogu razotkriti ključne detalje o operacijama zlonamjernih aktera.

Iako na prvi pogled djeluje kao bezbjedan mehanizam, ovaj oblik šifrovanja može se relativno lako zaobići detaljnom analizom i obrnutim inženjeringom. To jasno pokazuje kako se i najosnovniji oblici šifrovanja mogu kompromitovati kada se suoče sa dovoljno znanja, iskustva i stručnosti.

 

Profilisanje, postojanost i prikupljanje podataka

Pored šifrovanja nizova, DarkCloud koristi čitav niz tehnika za profilisanje sistema i prikupljanje podataka. Putem Windows Management Instrumentation – WMI upita, zlonamjerni softver prikuplja informacije o procesoru, operativnom sistemu, veličini diska, količini memorije i broju procesora ciljanog sistema.

Dodatno, DarkCloud koristi VBScript sa mogućnošću prepoznavanja brojeva kreditnih kartica putem regularnih izraza, čime izdvaja osjetljive finansijske informacije sa kompromitovanih uređaja. Ovaj mehanizam je upotpunjen prikupljanjem kontakata iz klijenata elektronske pošte poput Thunderbird i drugih, što zlonamjernim akterima omogućava da dođu do vrijednih obavještajnih podataka o potencijalnim metama ili žrtvama.

Funkcionalnost profilisanja sistema uključuje i detekciju izolovanih okruženja i virtuelnih mašina. To se postiže provjerom imena procesa, analizom pragova diska i memorije, kao i upitima o postojanju određenih datoteka. Na ovaj način, DarkCloud prilagođava svoje ponašanje u zavisnosti od okruženja u kojem se izvršava, što istraživačima značajno otežava otkrivanje i analizu zlonamjernog softvera.

Za postizanje postojanosti, DarkCloud koristi nasumične unose u registar RunOnce, čime osigurava da ostane aktivan i nakon ponovnog pokretanja sistema. Ovaj pristup omogućava mu trajno prisustvo na kompromitovanim uređajima, uz istovremeno smanjenje vidljivosti za bezbjednosni softver ili ručnu analizu.

Pored toga, funkcija preuzimanja datoteka cilja različite tipove sadržaja, uključujući dokumente, tabele, PDF fajlove i druge formate. Krađa kripto-novčanika obuhvata glavne direktorijume popularnih aplikacija poput Exodus, Electrum, Coinomi, MetaMask i drugih, što zlonamjernim akterima omogućava da ukradu vrijednu digitalnu imovinu direktno sa kompromitovanih sistema.

 

Tehnike izbjegavanja

Da bi osujetio istraživače i bezbjednosni softver, DarkCloud primjenjuje različite tehnike izbjegavanja koje značajno otežavaju efikasno otkrivanje i analizu. Jedan od takvih mehanizama podrazumijeva zaustavljanje izvršavanja ukoliko se na sistemu pokreće manje od 50 procesa, čime se analitičarima otežava prikupljanje podataka o radu zlonamjernog softvera.

Pored toga, DarkCloud aktivno otkriva za njega nepoželjne alate za analiziranje okruženja, poput Wireshark, procmon, AutoIt i drugih. U slučaju da prepozna njihovo prisustvo, automatski prekida vlastiti proces, izbjegavajući na taj način detekciju od strane sigurnosnog softvera ili ručne analize.

Ovakvo ponašanje jasno pokazuje kako zlonamjerni akteri koriste napredne taktike da bi ostali neprimijećeni i održali svoje aktivnosti tokom dužeg vremenskog perioda, čime dodatno povećavaju prijetnju za kompromitovane sisteme.

 

UTICAJ

Pojava kampanje DarkCloud zlonamjernog softvera izazvala je ozbiljnu zabrinutost u bezbjednosnoj zajednici. Ova prikrivena operacija karakteriše se sposobnošću da izbjegne otkrivanje, održi postojanost i prilagodi se promjenljivim okruženjima.

Njegov modularni dizajn omogućava primjenu novih funkcionalnosti na zahtjev, što ga čini sve opasnijim protivnikom za timove zadužene za sajber bezbjednost. Dodatno, upotreba ubjedljivih spear-phishing napada značajno komplikuje napore u reagovanju na incidente.

Kako se DarkCloud nastavlja razvijati, organizacije se suočavaju sa neviđenim izazovima u zaštiti od ove prijetnje. Čak ni napredne kontrole krajnjih tačaka i 24-časovno praćenje možda neće biti dovoljni da spriječe infekcije.

Ekonomski teret reagovanja na incidente može biti ogroman, uključujući gubitak produktivnosti, troškove oporavka i sprovođenje kontramjera. Uticaj na pojedince takođe je značajan, jer lični podaci i osjetljive informacije završavaju u neovlaštenim rukama.

Pored materijalnih posljedica, ne treba zanemariti ni psihološki teret stalne prijetnje poput DarkCloud. Stručnjaci za sajber bezbjednost suočavaju se sa ogromnim pritiskom da efikasno reaguju, što može ostaviti ozbiljne posljedice po emocionalno stanje i mentalno zdravlje.

U svjetlu ovih izazova, neophodno je da organizacije ponovo procijene i unaprijede svoje strategije sajber bezbjednosti, kako bi bile spremne da odgovore na rastuću prijetnju koju predstavlja DarkCloud.

 

ZAKLJUČAK

Analiza DarkCloud zlonamjernog softvera omogućava sveobuhvatno razumijevanje njegove modularne arhitekture i otkriva visok stepen prilagodljivosti i razvoja, što bezbjednosnim mjerama sve više otežava otkrivanje i sprečavanje njegovog širenja. Rezultati pokazuju da je DarkCloud dizajniran da prikuplja pritiske tastera, izvlači FTP podatke za prijavu i prikuplja sistemske informacije, čime se potvrđuju njegove napredne mogućnosti izviđanja.

Detaljan pregled operativne dinamike ovog paketa zlonamjernog softvera otkriva korištenje prilagođenih rutina za dešifrovanje korisnog tereta, što mu omogućava da izbjegne otkrivanje na osnovu diska i dodatno komplikuje forenzičku analizu. Dokazi ukazuju na to da su zlonamjerni akteri uložili značajan trud u kreiranje uvjerljivih mamaca za društveni inženjering, čime se dodatno otežava ublažavanje prijetnji koje ovaj softver predstavlja.

Dostupne informacije otkrivaju i jasan obrazac modularnog širenja unutar arhitekture DarkCloud zlonamjernog softvera. Ovakav pristup omogućava zlonamjernom softveru da se kreće između različitih modula, povećava mogućnosti prikupljanja podataka i istovremeno smanjuje forenzičke otiske. Rezultati pokazuju da zlonamjerni akteri kontinuirano usavršavaju i ažuriraju svoje taktike, tehnike i procedure, prilagođavajući ih evoluirajućim bezbjednosnim mjerama.

Sve navedeno ističe kritičnu potrebu da organizacije ponovo procijene svoje strategije sajber bezbjednosti u svjetlu mogućnosti koje DarkCloud zlonamjerni softver posjeduje. To podrazumijeva implementaciju robusnih mehanizama za detekciju, sprovođenje redovnih procjena ranjivosti i kontinuiranu obuku zaposlenih o taktikama društvenog inženjeringa, kako bi se smanjio rizik od kompromitovanja sistema.

 

ZAŠTITA

Kako bi se korisnici i organizacije zaštitili od prijetnje DarkCloud zlonamjernog softvera, trebalo bi da primjene sljedeće preporuke:

  1. Organizacije treba da sprovedu robusne programe obuke za sve zaposlene kako bi ih edukovale o evoluirajućim taktikama društvenog inženjeringa, uključujući kampanje phishing koje distribuiraju zlonamjerni softver DarkCloud. Ova obuka treba da obuhvati različite scenarije, kao što su sumnjiva elektronska pošta sa ZIP prilozima koji sadrže ugrađene tipove datoteka poput izvršnih datoteka ili skripti. Zaposleni moraju biti svjesni rizika povezanih sa klikom na nepoznate linkove ili preuzimanjem datoteka iz nepouzdanih izvora.
  2. Organizacije bi trebalo da koriste renomirani antivirusni softver koji uključuje napredne mogućnosti otkrivanja prijetnji, kao što su antivirusni softveri nove generacije (eng. Next-Generation Antivirus – NGAV) ili softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR). Ovi alati mogu da otkriju i obuzdaju prijetnje poput DarkCloud zlonamjernog softvera analizirajući ponašanje sistema i identifikujući zlonamjerne obrasce.
  3. Zaposleni moraju biti oprezni u identifikovanju sumnjive elektronske pošte ili priloga koji mogu sadržati zlonamjerni kôd. Negovanjem kulture svijesti i ohrabrivanjem zaposlenih da prijavljuju svaku neuobičajenu aktivnost, organizacije mogu značajno smanjiti rizik od uspješnih napada društvenim inženjeringom.
  4. Da bi se efikasno suprotstavile prikrivenim kampanjama zlonamjernog softvera, organizacije bi trebalo da usvoje višeslojnu strategiju odbrane koja kombinuje budnost zaposlenih, napredne kontrole krajnjih tačaka i mogućnosti reagovanja na incidente 24 sata dnevno. Ovaj pristup osigurava da su na snazi razne bezbjednosne mjere za otkrivanje i ublažavanje prijetnji poput DarkCloud zlonamjernog softvera.
  5. Organizacije mogu da sarađuju sa renomiranim dobavljačima rješenja za upravljano otkrivanje i reagovanje (eng. managed detection and response – MDR) radi neprekidnog nadzora prijetnji putem više signala, proaktivnog otkrivanja i brzog suzbijanja potencijalnih prijetnji. Ova usluga pomaže u pravovremenom prepoznavanju i reagovanju na nove sigurnosne rizike.
  6. Zaposleni moraju biti svjesni taktika koje zlonamjerni akteri koriste za distribuciju zlonamjernog softvera DarkCloud putem spear-phishing. Programi obuke treba da pokrivaju različite scenarije, kao što su sumnjiva elektronska pošta ili veza ka sumnjivim lokacijama.
  7. Organizacije i korisnici treba da koriste bezbjedne komunikacione protokole prilikom razmjene osvetljivih informacija preko protokola za prenos datoteka (eng. File Transfer Protocol – FTP). Ovo uključuje korištenje šifrovanja sigurnosnosti transportnog sloja (eng. Transport Layer Security – TLS) kako bi se spriječio neovlašteni pristup podacima.
  8. U slučaju ugrožavanja bezbjednosti, organizacije moraju imati efikasan plan odgovora na sajber prijetnju kako bi obuzdale i ublažile štetu koju je izazvao zlonamjerni softver DarkCloud ili druge zlonamjerne prijetnje.
  9. Organizacije mogu iskoristiti pouzdane izvore obavještajnih podataka o prijetnjama kako bi bile informisane o novim bezbjednosnim rizicima poput zlonamjernog softvera DarkCloud. Ove informacije će pomoći u donošenju odluka u vezi sa bezbjednosnim mjerama i politikama.
  10. Korisnici i organizacije treba da osiguraju da se njihov operativni sistemi, internet pregledač i druge aplikacije redovno ažuriraju najnovijim ispravkama i bezbjednosnim ažuriranjima. Ovo uključuje ažuriranje antivirusnog softvera kako bi se spriječilo zloupotrebljavanje od strane prijetnji poput zlonamjernog softvera DarkCloud.
  11. Organizacije moraju da sprovode robusne politike lozinki za sve zaposlene, uključujući korištenje autentifikacije u više koraka (eng. multi-factor authentication – MFA) kad god je to moguće. Jake lozinke će pomoći u zaštiti od neovlaštenog pristupa sistemima ili podacima koje je ugrozio zlonamjerni softver DarkCloud, a autentifikacija u više koraka (MFA) će dodati još jedan dodatni sloj bezbjednosti.
  12. Organizacije moraju segmentirati svoje mreže u izolovane segmente, svaki sa svojim bezbjednosnim kontrolama kako bi se spriječilo boćno kretanje zlonamjernog aktera koji iskorištava zlonamjerni softver DarkCloud.
  13. Organizacije moraju redovno procjenjivati svoj trenutni bezbjednosni položaj kako bi identifikovale oblasti za poboljšanje, ažurirale politike po potrebi i implementirale nove tehnologije ili procese kako bi ostale ispred novih prijetnji poput zlonamjernog softvera DarkCloud.
  14. Da bi ograničile potencijalnu štetu od bezbjednosnih incidenata izazvanih DarkCloud zlonamjernim softverom ili drugim prijetnjama, organizacije moraju da implementiraju robusne kontrole pristupa koje ograničavaju korisnička prava na osnovu radne funkcije i potrebe. Ovaj pristup osigurava da čak i ako zaposleni postane žrtva napada društvenim inženjeringom, uticaj je smanjen zbog ograničenog pristupa sistemu.

Zaštita od prijetnji poput zlonamjernog softvera DarkCloud zahtjeva višeslojni pristup koji kombinuje budnost zaposlenih, napredne kontrole krajnjih tačaka, reagovanje na incidente 24 sata dnevno i kontinuirano praćenje novih bezbjednosnih rizika. Primjenom ovih preporuka, korisnici i  organizacije mogu značajno smanjiti rizik od uspješnih napada društvenim inženjeringom i smanjiti potencijalnu štetu od sofisticiranih kampanja zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.