English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Preparando
May 26, 2023Violencia nuh: ¿El castigo con las excavadoras pisotea la justicia en la India?
May 27, 2023Empleador y capataz acusados penalmente de muerte en el lugar de trabajo en Burnaby hace 11 años
May 28, 2023La topadora de Wike ruge en Abuya y se derriba el primer edificio no aprobado
May 29, 2023Boskalis se suma a la flota de energía marina
May 30, 2023DarkGate Loader entregado a través de hilos de correo electrónico robados
Aug 02, 2023La investigación reveló una alta actividad de malspam del malware DarkGate distribuido a través de correos electrónicos de phishing a los usuarios, ya sea a través de archivos MSI o cargas útiles de scripts VB.
El malware Darkgate ha estado activo desde 2018 y tiene la capacidad de descargar y ejecutar archivos en la memoria, un módulo de Computación de red virtual oculta (HVNC), registro de teclas, capacidades de robo de información y escalada de privilegios.
Un usuario RastaFarEye ha estado anunciando DarkGate Loader en xss[.]es un exploit[.]en foros de ciberdelincuencia desde el 16 de junio de 2023, con diferentes modelos de precios.
"El aumento actual en la actividad del malware DarkGate es plausible dado el hecho de que el desarrollador del malware ha comenzado recientemente a alquilarlo a un número limitado de afiliados", dijo Telekom Security.
Inicialmente, los correos electrónicos de phishing distribuían la carga útil con la variante MSI o la variante VBScript.
El ataque comienza al hacer clic en la URL de phishing que redirige al usuario al sitio de phishing a través de un sistema de distribución de tráfico (TDS).
Posteriormente, se descargará el archivo MSI, que ejecuta el script AutoIt para ejecutar un código shell que actúa como un conducto para descifrar e iniciar DarkGate a través de un cifrador (o cargador).
Mientras que la carga útil de Visual Basic Script utiliza cURL para recuperar el ejecutable de AutoIt y el archivo de script para ejecutar el malware.
Tras una inicialización exitosa del malware darkgate, el malware escribirá una copia de sí mismo en el disco y creará una clave de ejecución del registro para persistir la ejecución entre reinicios.
También puede finalizar el proceso cuando el AV lo detecta y altera su comportamiento de acuerdo con el conocido producto AV.
El malware puede consultar diferentes fuentes de datos para obtener información sobre el sistema operativo, el usuario que inició sesión, los programas que se ejecutan actualmente y otras cosas.
El malware utiliza múltiples herramientas gratuitas legítimas publicadas por Nirsoft para extraer datos confidenciales.
El malware sondea periódicamente el servidor C2 en busca de nuevas instrucciones, ejecuta los comandos recibidos y finalmente envía los resultados al servidor C2.
Manténgase informado sobre las últimas noticias sobre seguridad cibernética siguiéndonos en Google News, Linkedin, Twitter y Facebook.
Guarde mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que comente.
Ejecución de ataqueCOIManténgase informado sobre las últimas noticias sobre seguridad cibernética siguiéndonos en Google News, Linkedin, Twitter y Facebook.