Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chiến dịch phần mềm độc hại DarkGate tồn tại trong thời gian ngắn, tận dụng chia sẻ tệp Samba để bắt đầu lây nhiễm.
Đơn vị 42 của Palo Alto Networks cho biết hoạt động này kéo dài trong tháng 3 và tháng 4/2024, với các chuỗi lây nhiễm sử dụng các máy chủ chạy chia sẻ tệp Samba công khai lưu trữ các tệp Visual Basic Script (VBS) và JavaScript. Các mục tiêu bao gồm Bắc Mỹ, Châu Âu và một phần của Châu Á.
"Đây là một chiến dịch tương đối ngắn ngủi minh họa cách các tác nhân đe dọa có thể lạm dụng một cách sáng tạo các công cụ và dịch vụ hợp pháp để phân phối phần mềm độc hại của họ", các nhà nghiên cứu bảo mật Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh và Brad Duncan cho biết.
DarkGate, xuất hiện lần đầu tiên vào năm 2018, đã phát triển thành một dịch vụ phần mềm độc hại dưới dạng dịch vụ (MaaS) được sử dụng bởi một số lượng khách hàng được kiểm soát chặt chẽ. Nó đi kèm với khả năng điều khiển từ xa các máy chủ bị xâm nhập, thực thi mã, khai thác tiền điện tử, khởi chạy vỏ ngược và thả tải trọng bổ sung.
Các cuộc tấn công liên quan đến phần mềm độc hại đặc biệt chứng kiến sự gia tăng trong những tháng gần đây sau vụ đánh sập cơ sở hạ tầng QakBot của cơ quan thực thi pháp luật đa quốc gia vào tháng 8/2023.
Chiến dịch được ghi lại bởi Đơn vị 42 bắt đầu với các tệp Microsoft Excel (.xlsx), khi được mở, thúc giục các mục tiêu nhấp vào nút Mở được nhúng, từ đó tìm nạp và chạy mã VBS được lưu trữ trên chia sẻ tệp Samba.
Tập lệnh PowerShell được cấu hình để truy xuất và thực thi tập lệnh PowerShell, sau đó được sử dụng để tải xuống gói DarkGate dựa trên AutoHotKey.
Các chuỗi thay thế sử dụng các tệp JavaScript thay vì VBS không khác ở chỗ chúng cũng được thiết kế để tải xuống và chạy tập lệnh PowerShell tiếp theo.
DarkGate hoạt động bằng cách quét các chương trình chống phần mềm độc hại khác nhau và kiểm tra thông tin CPU để xác định xem nó đang chạy trên máy chủ vật lý hay môi trường ảo, do đó cho phép nó cản trở phân tích. Nó cũng kiểm tra các quy trình đang chạy của máy chủ để xác định sự hiện diện của các công cụ kỹ thuật đảo ngược, trình gỡ lỗi hoặc phần mềm ảo hóa.
"Lưu lượng truy cập DarkGate C2 sử dụng các yêu cầu HTTP không được mã hóa, nhưng dữ liệu bị xáo trộn và xuất hiện dưới dạng văn bản được mã hóa Base64", các nhà nghiên cứu cho biết.
"Khi DarkGate tiếp tục phát triển và tinh chỉnh các phương pháp xâm nhập và chống phân tích, nó vẫn là một lời nhắc nhở mạnh mẽ về sự cần thiết của các biện pháp phòng thủ an ninh mạng mạnh mẽ và chủ động."