DarkGate-Malware nutzt SharePoint für Angriffe und missbraucht MSI-Dateien

Netskope Threat Labs hat eine neue Angriffswelle entdeckt, bei der SharePoint als Verbreitungsplattform für die berüchtigte DarkGate-Malware genutzt wird. Diese Entwicklung ist Teil einer Angriffskampagne, die Schwachstellen in Microsoft Teams und SharePoint ausnutzt und eine ernsthafte Gefahr für die Online-Sicherheit darstellt.

DarkGate, auch bekannt unter dem Namen MehCrypter, trat erstmals 2018 in Erscheinung und hat sich aufgrund seines umfangreichen Funktionsumfangs, zu dem unter anderem HVNC (Hidden VNC), Keylogging, Informationsdiebstahl und die Möglichkeit, weitere Schadsoftware herunterzuladen und auszuführen, schnell zu einer beliebten Wahl für Cyberkriminelle entwickelt. Diese Malware-Variante ist in den letzten Monaten an mehreren Kampagnen beteiligt gewesen und stellt somit eine anhaltende und sich entwickelnde Bedrohung dar.

Der Infektionspfad der jüngsten DarkGate-Variante beginnt mit einer Phishing-E-Mail, die als falsche Rechnung getarnt ist und ein PDF-Dokument enthält. Sobald dieses PDF geöffnet wird, wird der Benutzer aufgefordert, ein Dokument zu überprüfen, was zum Download einer CAB-Datei führt. In dieser Datei befindet sich eine Internetverknüpfung, die wiederum den Download einer MSI-Datei anstößt – dem Eintrittspunkt für die Infiltration von DarkGate.

Nach der Ausführung der MSI-Datei wird eine komplexe Kette von Ladetechniken ausgelöst. DarkGate verwendet dabei Techniken des DLL-Side-Loadings und verbirgt seine Präsenz durch die Ausführung einer gefälschten Version der dbgeng.dll DLL-Datei. Diese in der Programmiersprache Delphi geschriebene DLL ermöglicht die Ausführung von Schadcode, während sie gleichzeitig der Entdeckung entgeht.

Die Evasionstechniken der Malware beschränken sich nicht nur auf eine Ebene. Der mehrstufige Ladevorgang von DarkGate beinhaltet die Verwendung von AutoIt-Skripten, die die wahren Absichten weiter verschleiern. Diese Skripte erstellen eine PE-Datei (Portable Executable), die dann über eine Callback-Funktion ausgeführt wird, was eine zusätzliche Komplexitätsebene in den Betrieb der Malware bringt.