DarkGate：隐藏在 Excel 文件中的危险木马

QakBot 的后继者现在通过 Samba 服务器攻击用户。

Palo Alto Networks Unit 42 的专家发现了 DarkGate 活动，该活动使用 Samba 文件共享来分发木马。在 2024 年 3 月和 4 月观察到了活动，当时 DarkGate 使用托管 VBS 和 JavaScript 文件的公共 Samba 服务器。这些攻击针对的是北美、欧洲和亚洲的用户。

帕洛阿尔托网络 已找到 桑巴

DarkGate 恶意软件于 2018 年首次出现，在 MaaS 模式下为有限数量的客户端运行。 DarkGate具有远程控制受感染主机、执行代码、挖掘加密货币、启动反向Shell以及传递额外有效负载的功能。 2023 年 8 月，国际执法行动摧毁了 QakBot 的基础设施后，近几个月来，DarkGate 攻击大幅增加。

MaaS 反向外壳 变得更加频繁 执法机构清理了 QakBot 基础设施

DarkGate 感染链

DarkGate 感染链

检测到的 DarkGate 活动首先通过电子邮件发送 Microsoft Excel 文件 (.xlsx)，该文件打开后会鼓励用户单击“打开”按钮。单击该按钮后，将执行 Samba 上托管的 VBS 代码。 VBS代码从C2服务器下载PowerShell脚本，最终下载基于AutoHotKey的DarkGate包。替代脚本使用 JavaScript 而不是 VBS 来加载并执行后续的 PowerShell 脚本。

Excel文档提示受害者点击“打开”按钮执行脚本

文档 Excel 提示受害者单击“打开”按钮来执行脚本