Kampania z użyciem Malware DarkGate
Kampania z użyciem DarkGate wykorzystuje pliki MS Excel w celu pobrania złośliwego oprogramowania z publicznych udziałów SMB. Badacze z Palo Alto Networks Unit 42 zaobserwowali użycie przez grupę cybeprzestępczą stojącą za DarkGate, plików MS Excel *.xlsx z różnymi nazwami, wskazujący na ważną zawartość:
paper<NUM>-<DD>-march-2024.xlsx
march-D<NUM>-2024.xlsx
ACH-<NUM>-<DD>March.xlsx
attach#<NUM>-<<DATE>.xlsx
01 CT John Doe.xlsx (where John Doe is replaceable by any common English name)
april2024-<NUM>.xlsx
statapril2024-<<NUM>.xlsx
Po otwarciu pliku wyświetlany jest szablon z przyciskiem otwórz, jak na poniższym rysunku
Źródło PaloAlto Unit42
Hiperłącze przycisku otwórz w arkuszu kalkulacyjnym pobiera zawartość z URL i wskazuje na udział SMB, np.: plik:///\\167.99.115[.]33\share\EXCEL_OPEN_DOCUMENT.vbs
Wraz z rozwojem kampanii DarkGate udostępniany był plik JS również z zasobów SMB:
plik:///\\5.180.24[.]155\azure\EXCEL_DOCUMENT_OPEN.JS………
Użycie nazwy Azure w linku jest celową taktyką mająca na celu nie wzbudzać podejrzeń i wskazać na rzekomą zaufaną lokalizację. Plik EXCEL_OPEN_DOCUMENT.vbs zawiera dużą ilość niepotrzebnego kodu związanego ze sterownikami drukarek, ale ważny skrypt, który pobiera i uruchamia dalszy skrypt programu PowerShell. Kod z pliku .vbs lub .js pobiera i uruchamia skrypt PowerShell. Ten skrypt PowerShell pobiera trzy pliki i używa ich do uruchomienia pakietu DarkGate opartego na AutoHotKey.
Skrypt odnosi się do pliku test.txt, jest on ostatecznym kodem powłoki dla DarkGate, lecz celowo ukrytym. Prawdziwy Autohotkey.exe uruchamia złośliwy skrypt script.ahk, ujawniając test.txt, który ładowany jest do pamięci w celu uruchomienia pliku wykonywalnego DarkGate.
Ten ostatni plik binarny DarkGate jest znany ze złożonych mechanizmów unikania wykrycia i analizy złośliwego oprogramowania. DarkGate identyfikuje procesor docelowej maszyny, co pozwala mu zidentyfikować działanie w środowisku wirtualnym lub na hoście fizycznym, skanuje system pod kątem wykrycia programów antywirusowych, identyfikuje zainstalowane oprogramowanie antywirusowe, może uniknąć uruchomienia mechanizmów wykrywania lub nawet je wyłączyć. Poniższa tabela przedstawia programy antywirusowe, weryfikowane lokalizacje, procesy, które DarkGate wykorzystuje do wykrywania i rozpoznawania zainstalowanych systemów antywirusowych.
| Rozpoznawane systemy | Sprawdzona lokalizacja, uruchomiony proces, nazwa pliku |
| Bitdefender | C:\ProgramData\BitdefenderC:\Program Files\Bitdefender |
| SentinelOne | C:\Program Files\SentinelOne |
| Avast | C:\ProgramData\AVASTC:\Program Files\AVAST Software |
| AVG | C:\ProgramData\AVG C:\Program Files\AVG |
| Kaspersky | C:\ProgramData\Kaspersky Lab C:\Program Files (x86)\Kaspersky Lab |
| Eset-Nod32 | C:\ProgramData\ESET egui.exe (ESET GUI) |
| Avira | C:\Program Files (x86)\Avira |
| Norton | ns.exe nis.exe nortonsecurity.exe |
| Symantec | smc.exe |
| Trend Micro | uiseagnt.exe |
| McAfee | mcuicnt.exe |
| SUPERAntiSpyware | superantispyware.exe |
| Comodo | vkise.exe cis.exe |
| Malwarebytes | C:\Program Files\Malwarebytes mbam.exe |
| ByteFence | bytefence.exe |
| Search & Destroy | sdscan.exe |
| 360 Total Security | qhsafetray.exe |
| Total AV | totalav.exe |
| IObit Malware Fighter | C:\Program Files (x86)\IObit |
| Panda Security | psuaservice.exe |
| Emsisoft | C:\ProgramData\Emsisoft |
| Quick Heal | C:\Program Files\Quick Heal |
| F-Secure | C:\Program Files (x86)\F-Secure |
| Sophos | C:\ProgramData\Sophos |
| G DATA | C:\ProgramData\G DATA |
| Windows Defender | C:\Program Files (x86)\Windows Defender |
Ruch DarkGate do serwera kontroli C2 wykorzystuje nieszyfrowane żądania http POST, dane są jednak ukryte i pojawiają się jako tekst zakodowany w formacie Base64.
