- 9,386
- 18
- 8 Ноя 2022
Преемники вредоносного ПО принимают эстафету по заражению сетей.
Вредоносные программы DarkGate и PikaBot распространяются киберпреступниками с помощью тех же методов, что и атаках с использованием трояна QakBot, который Для просмотра ссылки Войдиили Зарегистрируйся в августе. Об этом Для просмотра ссылки Войди или Зарегистрируйся компания Cofense в своем отчете.
Платформа QakBot (QBot, Pinkslipbot), Для просмотра ссылки Войдиили Зарегистрируйся в ходе совместной операции правоохранительных органов под кодовым названием Duck Hunt в августе этого года. Qakbot заразил более 700 000 компьютеров жертв, способствовало распространению вирусов-вымогателей и нанес ущерб на сотни миллионов долларов бизнесу, медицинским учреждениям и государственным структурам по всему миру.
DarkGate и PikaBot способны доставлять дополнительные нагрузки на зараженные хосты, что делает их привлекательными для злоумышленников. Сходство PikaBot с QakBot было отмечено аналитиками исходя из одинаковых методов распространения, кампании и поведения вредоносных программ.
Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC -подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell , кейлоггинг, перехват буфера обмена и кражу информации (файлов, данных браузера).
В отчёте Cofense отмечается, что соединение двунаправленное, то есть атакующие могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, выкачивать данные или выполнять другие злонамеренные действия.
Анализ Cofense фишинговой кампании показал, что она направлена на широкий круг секторов, а цепочки атак включают вредоносный URL -адрес в фишинговых письмах, ведущий на ZIP-архив. ZIP-архив содержит JavaScript-загрузчик, который, в свою очередь, обращается ко второму URL, чтобы загрузить и запустить вредоносную программу DarkGate или PikaBot. Примечательно, что в одном из случаев в атаке использовались файлы надстройки Excel (XLL) вместо JavaScript-загрузчиков для доставки окончательных нагрузок.
Успешное заражение DarkGate или PikaBot может привести к доставке ПО для кражи криптовалюты, установки средств отслеживания, вымогательского ПО или любого другого вредоносного файла, который злоумышленники захотят установить на машину жертвы.
Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий от удаленного доступа до кражи данных. В июне Для просмотра ссылки Войдиили Зарегистрируйся MalSpam, в ходе которой устройства жертв заражались DarkGate.По словам специалистов Telekom Security, внезапный всплеск активности DarkGate может быть связан с тем, что разработчик вредоноса начал сдавать его в аренду ограниченному кругу аффилированных лиц. Цены на подписку DarkGate начинаются от $1000 в день и доходят до $100 000 в год.
Ранее «Лаборатория Касперского» Для просмотра ссылки Войдиили Зарегистрируйся по распространению вредоносного ПО PikaBot среди корпоративных пользователей. Атака началась в середине мая и достигла максимума с 15 по 18 числа. За этот период было обнаружено около 5 тысяч таких писем. PikaBot — новое семейство зловредов, которое имеет сходства с известным банковским троянцем Qbot. PikaBot может устанавливать на зараженные устройства другие зловреды или выполнять удаленные команды.
Вредоносные программы DarkGate и PikaBot распространяются киберпреступниками с помощью тех же методов, что и атаках с использованием трояна QakBot, который Для просмотра ссылки Войди
Платформа QakBot (QBot, Pinkslipbot), Для просмотра ссылки Войди
DarkGate и PikaBot способны доставлять дополнительные нагрузки на зараженные хосты, что делает их привлекательными для злоумышленников. Сходство PikaBot с QakBot было отмечено аналитиками исходя из одинаковых методов распространения, кампании и поведения вредоносных программ.
Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC -подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell , кейлоггинг, перехват буфера обмена и кражу информации (файлов, данных браузера).
В отчёте Cofense отмечается, что соединение двунаправленное, то есть атакующие могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, выкачивать данные или выполнять другие злонамеренные действия.
Анализ Cofense фишинговой кампании показал, что она направлена на широкий круг секторов, а цепочки атак включают вредоносный URL -адрес в фишинговых письмах, ведущий на ZIP-архив. ZIP-архив содержит JavaScript-загрузчик, который, в свою очередь, обращается ко второму URL, чтобы загрузить и запустить вредоносную программу DarkGate или PikaBot. Примечательно, что в одном из случаев в атаке использовались файлы надстройки Excel (XLL) вместо JavaScript-загрузчиков для доставки окончательных нагрузок.
Успешное заражение DarkGate или PikaBot может привести к доставке ПО для кражи криптовалюты, установки средств отслеживания, вымогательского ПО или любого другого вредоносного файла, который злоумышленники захотят установить на машину жертвы.
Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий от удаленного доступа до кражи данных. В июне Для просмотра ссылки Войди
Ранее «Лаборатория Касперского» Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
