Die Malware-as-a-Service (MaaS)-Plattform DarkGate hat seit September 2023 einen deutlichen Aktivitätsschub erlebt. Sie nutzt verschiedene Verbreitungsmethoden, darunter E-Mail-Anhänge, bösartige Anzeigen und kompromittierte Samba-Freigaben. Ursprünglich als von Menschen betriebene Command-and-Control-Infrastruktur konzipiert, hat sich DarkGate zu einem vielseitigen Werkzeug entwickelt, das Fernzugriff, Krypto-Mining und andere schädliche Funktionen bietet.
Verbreitung und Infektionsmethoden
Die Malware wird aktiv in Nordamerika, Europa und Asien verteilt und nutzt AutoIt- oder AutoHotkey-Skripte für die anfängliche Infektion. Im März 2024 starteten die Akteure eine Kampagne, bei der Excel-Dateien als legitime Dokumente getarnt verwendet wurden, um schädliche Payloads auszuliefern. Diese Kampagne zielte hauptsächlich auf Nordamerika ab, wurde jedoch auf Europa und Asien ausgeweitet.
Angriffsablauf
Der Angriff beginnt damit, dass Benutzer dazu verleitet werden, Excel-Dateien zu öffnen, die eingebettete Links zu öffentlich zugänglichen Samba-Freigaben enthalten. Diese Freigaben hosten VBS- oder JS-Skripte, die ein PowerShell-Skript herunterladen und ausführen, welches schließlich das finale AutoHotKey-basierte DarkGate-Payload lädt und ausführt.
Evasionstechniken
Die Bedrohungsakteure verwenden verschiedene Techniken zur Umgehung der Erkennung, einschließlich Verschleierung, Verwendung legitimer Software und Anti-Malware-Erkennungstests, um die Analyse zu erschweren und die Persistenz der Malware zu erhöhen. DarkGate verwendet Anti-Analyse-Techniken, um eine Erkennung zu vermeiden, indem das System auf seine CPU überprüft wird, um zwischen virtuellen Umgebungen und physischen Hosts zu unterscheiden. Dies kann die Ausführung in kontrollierten Analyseumgebungen stoppen.
Die Malware scannt nach mehreren Anti-Malware-Programmen, indem sie bestimmte Verzeichnispfade und Dateinamen überprüft, um deren Erkennungsmechanismen zu vermeiden oder sie sogar zu deaktivieren. Die kontinuierliche Weiterentwicklung der Malware umfasst die Hinzufügung neuer Anti-Malware-Checks, was ihre Anpassungsfähigkeit zur Bekämpfung fortschreitender Sicherheitsmaßnahmen demonstriert.
Analyse der DarkGate-Proben
Zwei Sets von DarkGate-Proben wurden untersucht. Das erste Set teilte dieselbe Kampagnen-ID, hatte jedoch unterschiedliche XOR-Schlüssel. Das zweite Set teilte sowohl die Kampagnen-ID als auch den C2-Server, hatte jedoch ebenfalls unterschiedliche XOR-Schlüssel. Dies deutet darauf hin, dass DarkGate mehrere XOR-Schlüssel für dieselbe Kampagne oder Infrastruktur verwendet, was die Rückwärtsanalyse erschwert und die Widerstandsfähigkeit der Malware erhöht.
DarkGate scannt einen Host nach spezifischen Prozessen und Tools, die häufig in der Malware-Analyse oder in virtuellen Umgebungen verwendet werden. Dabei wird ein komplexer Konfigurationsentschlüsselungsprozess unter Verwendung von XOR-Schlüsseln eingesetzt, um das Verhalten zu verschleiern.
C2-Kommunikation
Der C2-Verkehr von DarkGate erscheint als unverschlüsselte, Base64-codierte HTTP-POST-Anfragen, enthält jedoch verschleierte Daten, die dekodiert werden können. Es existiert eine weitere Verschleierungsebene. Eine Untersuchung von Unit 42 zu einer Infektion am 14. März 2024 ergab, dass fünf HTTP-POST-Anfragen mit fast 218 KB Base64-codierten Daten an nextroundstr.com möglicherweise Daten preisgegeben haben.
Sicherheitsbedenken
Obwohl die Hauptfunktion von DarkGate unklar bleibt, weist seine Assoziation mit nachfolgender Malware wie Danabot und gemeldeten Verbindungen zu Ransomware auf erhebliche Sicherheitsrisiken hin.
DarkGate stellt eine ernsthafte Bedrohung für die Cybersicherheit dar. Es ist entscheidend, dass Unternehmen und Einzelpersonen wachsam bleiben, regelmäßige Updates und Sicherheitspatches anwenden und verdächtige Aktivitäten überwachen, um sich vor dieser vielseitigen und anpassungsfähigen Malware zu schützen.