DarkGate: опасный троян прячется в Excel файлах

Специалисты Palo Alto Networks Unit 42 обнаружили кампанию DarkGate, в ходе которой используются файловые ресурсы Samba для распространения трояна. Активность наблюдалась в марте и апреле 2024 года, когда DarkGate использовал общедоступные серверы Samba, размещающие файлы VBS и JavaScript. Целями атак стали пользователи в Северной Америке, Европе и Азии.

Вредоносное ПО DarkGate, впервые появившееся в 2018 году, работает по модели MaaS для ограниченного числа клиентов. DarkGate обладает функциями удаленного управления зараженными хостами, выполнения кода, майнинга криптовалюты, запуска реверс-шелла (Reverse Shell) и доставки дополнительных полезных нагрузок. В последние месяцы атаки с использованием DarkGate значительно участились после международной операции, в ходе которой правоохранительные органы ликвидировали инфраструктуру QakBot в августе 2023 года.

Цепочка заражения DarkGate

Обнаруженная кампания DarkGate начинается с отправки по email файлов Microsoft Excel (.xlsx), которые при открытии призывают пользователя нажать кнопку «Открыть». После нажатия на кнопку выполняется VBS-код, размещенный на Samba. VBS-код загружает с C2-сервера PowerShell-скрипт, который в конечном итоге загружает пакет DarkGate на основе AutoHotKey. Альтернативные сценарии используют JavaScript вместо VBS, чтобы загрузить и выполнить последующий скрипт PowerShell.

Документ Excel побуждает жертву нажать кнопку «Открыть» для выполнения скрипта

Одним из методов антианализа DarkGate является идентификация ЦП целевой системы. Троян проверяет, запущен ли он в виртуальной среде или на физическом хосте. Проверка позволяет прекратить работу, чтобы избежать анализа в контролируемой среде. Вредоносное ПО также исследует запущенные процессы на хосте для обнаружения инструментов реверс-инжиниринга, отладчиков или программ виртуализации.

Помимо проверки информации о ЦП, DarkGate также сканирует систему на наличие множества других программ защиты от вредоносного ПО. Выявляя установленное ПО безопасности, DarkGate может избежать срабатывания механизмов обнаружения или даже отключить их, чтобы избежать дальнейшего анализа.

Трафик управления и контроля (C2) использует незашифрованные HTTP-запросы, но данные обфусцированы и представлены в виде текста, закодированного в Base64. Специалисты подчеркнули, что DarkGate продолжает развиваться и совершенствовать методы проникновения и сопротивления анализу, оставаясь громким напоминанием о необходимости надежной и проактивной защиты кибербезопасности.