Mit <kes>+ lesen

DarkGate-Malware tarnt sich für versteckte Cyberangriffe

Cyberangriffe mit der DarkGate-Malware-as-a-Service (MaaS) haben sich von AutoIt-Skripten auf AutoHotkey-Mechanismen verlagert, um die letzten Schritte auszuführen.

Lesezeit 2 Min.

Die „Updates“ wurden in Version 6 von DarkGate beobachtet, die im März 2024 von seinem Entwickler RastaFarEye veröffentlicht wurde. Dieser hat das Programm auf Abonnementbasis an bis zu 30 Kunden verkauft. Die Malware ist seit mindestens 2018 aktiv. DarkGate ist ein leistungsfähiger Remote-Access-Trojaner (RAT) mit Funktionen für Command-and-Control (C2) und Rootkits. Er enthält Module für das Stehlen von Anmeldeinformationen, Keylogging, Bildschirmaufnahmen und Remote-Desktop-Zugriff.

„DarkGate-Kampagnen passen sich schnell an und ändern verschiedene Komponenten, um Sicherheitslösungen zu umgehen“, so der Trellix-Sicherheitsexperte Ernesto Fernández Provecho. „Dies ist das erste Mal, dass wir beobachten, dass DarkGate AutoHotKey – einen weniger verbreiteten Skript-Interpreter – zum Starten verwendet.“

Der Wechsel von DarkGate zu AutoHotKey wurde erstmals Ende April 2024 von McAfee Labs dokumentiert. Die Angriffe nutzen Sicherheitslücken wie CVE-2023-36025 und CVE-2024-21412, um Microsoft Defenders SmartScreen zu umgehen, oft über Excel- oder HTML-Anhänge in Phishing-E-Mails. Dabei werden Excel-Dateien mit eingebetteten Makros verwendet, um ein Visual Basic Script auszuführen, das PowerShell-Befehle aufruft und letztlich ein AutoHotKey-Skript startet. Dieses Skript lädt und entschlüsselt dann die DarkGate-Nutzdaten aus einer Textdatei.

Verbesserungen

Die neueste Version von DarkGate bietet Verbesserungen bei der Konfiguration, den Umgehungstechniken und den unterstützten Befehlen, darunter Funktionen für Audioaufnahmen, Maussteuerung und Tastaturverwaltung. „Version 6 enthält neue Befehle, aber einige frühere Funktionen wie Privilegienerweiterung, Cryptomining und hVNC fehlen“, so Provecho. Er fügte hinzu, dass dies ein Versuch sein könnte, Entdeckungen zu vermeiden. „Da DarkGate nur an eine kleine Gruppe von Personen verkauft wird, könnten die Kunden auch kein Interesse an diesen Funktionen gehabt haben und RastaFarEye hat sie daher entfernt.“

Missbrauch von Docusign

Die Entdeckung erfolgte, nachdem Cyberkriminelle Docusign missbraucht hatten, indem sie legitim aussehende, anpassbare Phishing-Vorlagen in Untergrundforen verkauften. Dies machte den Dienst attraktiv für Phisher, die Zugangsdaten stehlen und Business-E-Mail-Compromise-(BEC)-Betrügereien durchführen wollen. „Diese betrügerischen E-Mails sehen aus wie legitime Dokumentenanforderungen und verleiten Empfänger dazu, auf schädliche Links zu klicken oder sensible Informationen preiszugeben“, so Abnormal Security.

AutoHotKey-basierte DarkGate-Kampagnen zielen auf die USA, Europa und Asien ab

Cisco Talos gab in einem neuen Bericht vom 5. Juni 2024 bekannt, dass es DarkGate-Malware-Kampagnen mit AutoHotKey-Skripten als Teil von Phishing-Angriffen entdeckt hat, die hauptsächlich auf die Gesundheitstechnologie-, Telekommunikations- und Fintech-Branche in den USA, Europa und Asien abzielten.

„Der Infektionsprozess beginnt, wenn das bösartige Excel-Dokument geöffnet wird“, sagte der Sicherheitsexperte Kalpesh Mantri. „Diese Dateien wurden speziell entwickelt, um eine Technik namens ‚Remote Template Injection‚ zu verwenden, um den automatischen Download und die Ausführung bösartiger Inhalte auszulösen, die auf einem Remote-Server gehostet werden.“

Diesen Beitrag teilen: