DarkGate 6.0：更新的 RAT 使用 AutoHotkey 突破网络防御

Microsoft 软件中的漏洞已成为新版本木马的后门。

使用 MaaS（恶意软件即服务）模型分发的 DarkGate 恶意软件改变了交付最后阶段的方法，从 AutoIt 脚本转向 AutoHotkey 机制。这种转变凸显了网络犯罪分子不断领先于威胁检测系统的愿望。

MaaS

观察显示，更新出现在 DarkGate 版本 6 中，该版本由名为 RastaFarEye 的开发人员于 2024 年 3 月发布。该程序通过订阅方式积极销售，约有 30 名客户使用。

DarkGate 恶意软件自 2018 年以来就已为人所知，是一种配备 C2 和 Rootkit 功能的全功能远程访问木马 (RAT)。该程序包括用于凭据盗窃、键盘记录、屏幕捕获和远程桌面的模块。

老鼠 C2 rootkit

“DarkGate 活动通过修改各种组件来快速适应，以逃避安全系统的检测，”安全研究人员 Trellix 在其分析中指出。 “这是我们第一次发现使用 AutoHotkey 来运行 DarkGate。”

标记 特雷利克斯

McAfee Labs 于 2024 年 4 月下旬首次记录了向 AutoHotkey 的过渡。这些攻击利用 CVE-2023-36025 和 CVE-2024-21412 等漏洞，通过在网络钓鱼电子邮件中使用 Microsoft Excel 或 HTML 附件来绕过 Microsoft Defender SmartScreen 保护。

首次记录 CVE-2023-36025 CVE-2024-21412，

替代方法使用嵌入宏的 Excel 文件来执行 Visual Basic 脚本，该脚本调用最终运行 AutoHotkey 脚本的 PowerShell 命令。该脚本从文本文件下载并解码 DarkGate 有效负载。

新版本的 DarkGate 对配置、规避技术和可用命令进行了重大改进。它现在支持音频录制、鼠标和键盘控制。