도난당한 이메일 스레드를 통해 전달된 DarkGate 로더

Aug 02, 2023

연구 결과 MSI 파일이나 VB 스크립트 페이로드를 통해 사용자에게 피싱 이메일을 통해 배포되는 DarkGate 악성 코드의 높은 악성 스팸 활동이 밝혀졌습니다.

Darkgate 악성코드는 2018년부터 활동해 왔으며 파일을 메모리에 다운로드하고 실행하는 기능, HVNC(Hidden Virtual Network Computing) 모듈, 키로깅, 정보 도용 기능 및 권한 상승 기능을 갖추고 있습니다.

RastaFarEye 사용자는 2023년 6월 16일부터 다양한 가격 모델을 사용하여 xss[.]에서 DarkGate Loader가 사이버 범죄 포럼에서 익스플로잇[.]임을 광고해 왔습니다.

Telekom Security는 “악성 코드 개발자가 최근 제한된 수의 계열사에게 악성 코드를 임대하기 시작했다는 사실을 고려할 때 현재 DarkGate 악성 코드 활동의 급증은 그럴듯합니다.”라고 말했습니다.

처음에 피싱 이메일은 MSI 변종 또는 VBScript 변종을 사용하여 페이로드를 배포했습니다.

공격은 트래픽 분산 시스템(TDS)을 통해 사용자를 피싱 사이트로 리디렉션하는 피싱 URL을 클릭하는 것부터 시작됩니다.

이어서, MSI 파일이 다운로드되어 AutoIt 스크립트를 실행하여 크립터(또는 로더)를 통해 DarkGate를 해독하고 실행하는 통로 역할을 하는 쉘코드를 실행합니다.

반면 Visual Basic 스크립트 페이로드는 cURL을 사용하여 AutoIt 실행 파일과 스크립트 파일을 검색하여 맬웨어를 실행합니다.

darkgate 악성 코드가 성공적으로 초기화되면 악성 코드는 자신의 복사본을 디스크에 쓰고 레지스트리 실행 키를 생성하여 재부팅 간에 실행을 유지합니다.

또한 AV에 의해 감지되면 프로세스를 종료하고 잘 알려진 AV 제품에 따라 동작을 변경할 수도 있습니다.

악성코드는 다양한 데이터 소스를 쿼리하여 운영 체제, 로그온한 사용자, 현재 실행 중인 프로그램 등에 대한 정보를 얻을 수 있습니다.

이 악성코드는 Nirsoft가 게시한 여러 합법적인 프리웨어 도구를 사용하여 기밀 데이터를 추출합니다.

악성코드는 주기적으로 C2 서버에서 새로운 명령을 폴링하고 수신된 명령을 실행한 후 최종적으로 결과를 C2 서버로 다시 보냅니다.

Google 뉴스, Linkedin, Twitter 및 Facebook에서 팔로우하여 최신 사이버 보안 뉴스에 대한 정보를 받아보세요.

다음에 댓글을 달 때 내 이름, 이메일, 웹사이트를 이 브라우저에 저장하세요.