详细内容或原文请订阅后点击阅览
数字变色龙:新的 DarkGate – 防病毒测试
专家解密DarkGate 6.6的秘密。
来源:安全实验室新闻频道专家解密DarkGate 6.6的秘密。
SonicWall 专家发现了新一波传播 DarkGate 恶意软件的网络钓鱼攻击。攻击者使用伪装成发票的 PDF 文件来感染受害者的计算机。
SonicWall 已找到该活动旨在传播 DarkGate RAT 木马,该木马自 2018 年以来一直被积极使用,并使用 MaaS(恶意软件即服务)模型进行传播。新版本的DarkGate 6.6具有绕过虚拟机、防病毒、执行延迟和进程欺骗等许多危险功能,这使得该版本极难检测和消除。
老鼠 MaaS在相关活动中,恶意 PDF 文件似乎是日期为 2024 年 6 月 26 日的发票,并包含一个下载按钮,该按钮将受害者重定向到受感染的网站以下载恶意 VBScript 文件。
VBScript 非常混乱:函数和变量名被加密,冗长的注释使代码难以阅读。该恶意软件将压缩数据存储在 VBScript 末尾的注释中,并使用正则表达式将其提取。然后,该木马运行编译后的 AutoIt3 (AU3) 脚本,该脚本执行进一步的命令来下载 DarkGate。
恶意软件通过初始化版本“6.6”并加载必要的 DLL 来开始工作。然后,DarkGate 初始化加密密钥以进一步处理数据。密钥是根据唯一的系统标识符(产品 ID 和处理器名称)生成的。
DarkGate 还使用复杂的方法来绕过防病毒软件。该恶意软件会检查 20 多种流行的防病毒程序是否存在,并根据检测到的保护措施改变其行为。如果在系统上检测到特定的防病毒程序,DarkGate 会设置适当的标志并进行调整以绕过保护。