Большинство антивирусов не могут обнаружить новую вредоносную программу для кражи криптовалюты

2018-11-19 | Автор | комментарии
В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа DarkGate, которая остается незамеченной для традиционных антивирусов

Большинство антивирусов не могут обнаружить новую вредоносную программу для кражи криптовалюты

В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа, которая остается незамеченной для традиционных антивирусов.

Угрозы используются во вредоносной атаке DarkGate – данная хакерская операция была обнаружена на прошлой неделе исследователями безопасности из enSilo.

Команда исследователей, сообщает, что DarkGate активно распространяется в Испании и Франции, заражая компьютеры Windows с помощью торрент-файлов.

Virustotal

В большинстве случаев торрент-файлы связаны с распространением пиратского контента, но сама технология не является запрещенной и может использоваться домашними и корпоративными пользователями для обмена крупными файлами. В данном случае инфицированные торрент-файлы выдают себя за пиратские копии телевизионных передач и сериалов, в том числе сериала «Ходячие мертвецы».

Вредоносное ПО DarkGate использует различные приемы обфускации кода, чтобы предотвратить обнаружение традиционными антивирусными программами. Командно-административная (С2) структура зловреда, которая позволяет операторам удаленно отправлять команды для передачи украденных данных, использует скрытые DNS записи в легитимных сервисах, таких как Akamai CDN и AWS.

За счет маскировки командного центра с помощью надежных DNS-служб вредоносная программа может обходить проверки репутации, которые обычно безошибочно распознают типичные угрозы, применяющие подозрительные службы и хостинг-платформы.

Кроме того, для сокрытия своего присутствия в системе DarkGate использует метод, известный как «Process Hollowing». Данная техника позволяет загружать надежное приложение в замороженном состоянии в качестве контейнера для вредоносного процесса, который в свою очередь может выполнять действия от имени надежной программы.

Угроза DarkGate также проводит ряд проверок, чтобы определить, были ли она загружена в изолированную виртуальную среду, которая применяется исследователями для анализа и распаковки вредоносного ПО. Более того, зловред умеет сканировать систему на предмет установленных антивирусов, в частности продуктов Avast, Bitdefender, Trend Micro и «Лаборатории Касперского».

Вредоносная программа использует также инструменты восстановления, чтобы предотвратить удаление критически важных для проведения атаки файлов.

Эксперты enSilo убеждены, что автор вредоносной программы потратил очень много времени и усилий, чтобы разработать техники защиты от обнаружения и, как показывает их собственное тестирование, «многие антивирусы не смогли обнаружить угрозу».

Во время исполнения, DarkGate использует сразу две техники обхода службы контроля учетных записей, чтобы получить права администратора, скачать и запустить дополнительную полезную нагрузку.

Эти вспомогательные пакеты позволяют DarkGate перехватывать учетные данные, связанные с кошельками для хранения криптовалюты жертв, запускать трояны-шифровальщики, создавать туннели удаленного доступа для операторов с целью взлома системы и выполнять операции майнинга криптовалюты.

enSilo сообщает, что управленческий модуль С2 контролируется отдельными операторами, которые получают уведомления о новых заражениях, связанных с криптокошельками от инструментов удаленного доступа, служащих для кражи цифровых монет.

Исследователи из enSilo опасаются дальнейшего развития угрозы в будущем. Анализ DarkGate показал, что зловред также связан с семейством вредоносных программ для кражи паролей Golroted, которые используют аналогичные техники для обхода службы контроля учетных записей.

Команда enSilo сообщает:

Становится очевидым, что DarkGate постоянно развивается и дорабатывается, и каждая новая версия угрозы получает улучшения. Обычно целью вредоносных программ для скрытого майнинга, вымогательства и кражи криптовалюты является получение финансовой выгоды. В случае с DarkGate до конца не ясно, если ли у автора зловреда другие мотивы. Для определения конечной мотивации вредоносного ПО нужно провести более глубокое исследование.

Индикаторы компрометации IOCS

Домены (DOMAINS)
akamai.la
hardwarenet.cc
ec2-14-122-45-127.compute-1.amazonaws.cdnprivate.tel
awsamazon.cc
battlenet.la
a40-77-229-13.deploy.static.akamaitechnologies.pw
Хэш-суммы образцов (SAMPLE HASHES)
3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b
0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5
3340013b0f00fe0c9e99411f722f8f3f0baf9ae4f40ac78796a6d4d694b46d7b
0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5
52c47a529e4ddd0778dde84b7f54e1aea326d9f8eeb4ba4961a87835a3d29866
b0542a719c6b2fc575915e9e4c58920cf999ba5c3f5345617818a9dc14a378b4
dadd0ec8806d506137889d7f1595b3b5447c1ea30159432b1952fa9551ecfba5
c88eab30fa03c44b567bcb4e659a60ee0fe5d98664816c70e3b6e8d79169cbea
2264c2f2c2d5a0d6d62c33cadb848305a8fff81cdd79c4d7560021cfb304a121
3c68facf01aede7bcd8c2aea853324a2e6a0ec8b026d95c7f50a46d77334c2d2
a146f84a0179124d96a707f192f4c06c07690e745cffaef521fcda9633766a44
abc35bb943462312437f0c4275b012e8ec03899ab86d353143d92cbefedd7f9d
908f2dfed6c122b46e946fe8839feb9218cb095f180f86c43659448e2f709fc7
3491bc6df27858257db26b913da8c35c83a0e48cf80de701a45a30a30544706d

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества