Вредоносная программа DarkGate, распространяемая по модели MaaS (Malware-as-a-Service), изменила метод доставки финальных этапов, перейдя от скриптов AutoIt к механизму AutoHotkey. Эта смена подчёркивает стремление киберпреступников постоянно опережать системы обнаружения угроз.
Наблюдения показали, что обновления появились в DarkGate версии 6, выпущенной в марте 2024 года разработчиком по имени RastaFarEye. Программа активно продаётся по подписке и используется примерно 30 клиентами.
Вредонос DarkGate известен с 2018 года и является полнофункциональным трояном удалённого доступа (RAT), оснащённым C2 и руткит возможностями. Программа включает модули для кражи учётных данных, кейлоггинга, захвата экрана и удалённого рабочего стола.
“Кампании DarkGate быстро адаптируются, модифицируя различные компоненты, чтобы избегать обнаружения системами безопасности”, – отметилисследователь безопасности Trellix в своём анализе. “Это первый случай, когда мы обнаружили использование AutoHotkey для запуска DarkGate”.
Переход на AutoHotkey впервые задокументирован McAfee Labs в конце апреля 2024 года. Атаки используют уязвимости, такие как CVE-2023-36025и CVE-2024-21412,чтобы обойти защиту Microsoft Defender SmartScreen, применяя Microsoft Excel или HTML-вложения в фишинговых письмах.
Альтернативные методы используют Excel-файлы с встроенными макросами для выполнения Visual Basic Script, который вызывает PowerShell-команды, в конечном итоге запускающие скрипт AutoHotkey. Этот скрипт загружает и декодирует полезную нагрузку DarkGate из текстового файла.
Новая версия DarkGate включает значительные улучшения конфигурации, техник уклонения и доступных команд. Теперь она поддерживает функции записи звука, управления мышью и клавиатурой.
“Версия 6 не только добавила новые команды, но и убрала некоторые из предыдущих версий, такие как повышение привилегий, криптомайнинг и скрытое виртуальное сетевое управление (hVNC)”, – добавили в Trellix, предположив, что это может быть сделано для сокращения функций, способных вызвать обнаружение.
Также стоит отметить, что DarkGate продаётся ограниченному числу клиентов, что и могло повлиять на решение RastaFarEye об удалении некоторых функций.
Таким образом, недавнее изменение функционала DarkGate демонстрирует стремление авторов вредоноса к инновациям и повышению эффективности своих атак. Это подчёркивает необходимость постоянного мониторинга и быстрого реагирования со стороны систем кибербезопасности для защиты от новых изощренных угроз.