بدافزار DarkGate
بدافزار DarkGate ، با قابلیتهای سرقت گذرواژه و کاوش ارز
به تازگی بدافزار پیشرفته جدیدی با نام DarkGate کشف شده است که فعالیتهای مخربی از قبیل حملات باجافزاری، سرقت اطلاعات احرازهویت، دسترسی راه دور و استخراج ارز دیجیتالی را میتواند انجام دهد.
به گزارش معاونت بررسی مرکز افتا به نقل از وبسایت Hackread، بدافزار DarkGate اولین بار در اواخر ماه دسامبر سال ۲۰۱۷ مشاهده شده است. این بدافزار اکنون از طریق فایلهای تورنت توزیع میشود و عمدتا ایستگاههای کاری ویندوزی را هدف قرار میدهد.
DarkGate از پشتیبانی یک سیستم C&C بهره میبرد بطوری که هنگام اجرای آن توسط کاربر، فرایندهای شناسایی را دور میزند.
فایلهای تورنت آلوده، کدهای مخرب VBscript را در رایانه قربانی اجرا، پس از آن با سرور C&C ارتباط برقرار و فرایند کاوش ارز را آغاز میکند. سپس فعالیتهای مخرب دیگری توسط بدافزار اجرا میشود.
اکثر اهداف این بدافزار در کشورهای فرانسه و اسپانیا مشاهده شدهاند، اما دامنه آن به سرعت در حال گسترش در سراسر اروپا است.
بدافزار DarkGate که توسط پژوهشگران ensilo کشف شده، دارای قابلیتهای پیشرفته دور زدن فرایندهای شناسایی ضدویروسها است. همچنین بدافزار دارای یک قابلیت بازیابی است تا از حذف فایلهای اصلی خود جلوگیری کند.
امکانات سرقت گذرواژه DarkGate شامل سرقت اطلاعات احرازهویت و تاریخچه و کوکیهای مرورگر، و اطلاعات گفتگوهای برنامه اسکایپ است. پژوهشگران ادعا کردهاند که DarkGate با یک بدافزار سارق گذرواژه دیگر با نام Golroted در ارتباط است. علاوه بر این، بدافزار در سیستم قربانی رشتههای مرتبط با کیفپولهای ارزهای دیجیتالی و دادههای دیگر در این باره را نیز جستجو میکند.
نشانههای آلودگی (IoC) این بدافزار:
دامنهها:
• akamai.la
• hardwarenet.cc
• ec۲-۱۴-۱۲۲-۴۵-۱۲۷.compute-۱.amazonaws.cdnprivate.tel
• awsamazon.cc
• battlenet.la
• a۴۰-۷۷-۲۲۹-۱۳.deploy.static.akamaitechnologies.pw
نمونههای هش های بررسی شده:
• ۳۳۴۰۰۱۳b۰f۰۰fe۰c۹e۹۹۴۱۱f۷۲۲f۸f۳f۰baf۹ae۴f۴۰ac۷۸۷۹۶a۶d۴d۶۹۴b۴۶d۷b
• ۰c۳ef۲۰ede۵۳efbe۵eebca۵۰۱۷۱a۵۸۹۷۳۱a۱۷۰۳۷۱۴۷۱۰۲۸۳۸bdb۴a۴۱c۳۳f۹۴e۵
• ۳۳۴۰۰۱۳b۰f۰۰fe۰c۹e۹۹۴۱۱f۷۲۲f۸f۳f۰baf۹ae۴f۴۰ac۷۸۷۹۶a۶d۴d۶۹۴b۴۶d۷b
• ۰c۳ef۲۰ede۵۳efbe۵eebca۵۰۱۷۱a۵۸۹۷۳۱a۱۷۰۳۷۱۴۷۱۰۲۸۳۸bdb۴a۴۱c۳۳f۹۴e۵
• ۵۲c۴۷a۵۲۹e۴ddd۰۷۷۸dde۸۴b۷f۵۴e۱aea۳۲۶d۹f۸eeb۴ba۴۹۶۱a۸۷۸۳۵a۳d۲۹۸۶۶
• b۰۵۴۲a۷۱۹c۶b۲fc۵۷۵۹۱۵e۹e۴c۵۸۹۲۰cf۹۹۹ba۵c۳f۵۳۴۵۶۱۷۸۱۸a۹dc۱۴a۳۷۸b۴
• dadd۰ec۸۸۰۶d۵۰۶۱۳۷۸۸۹d۷f۱۵۹۵b۳b۵۴۴۷c۱ea۳۰۱۵۹۴۳۲b۱۹۵۲fa۹۵۵۱ecfba۵
• c۸۸eab۳۰fa۰۳c۴۴b۵۶۷bcb۴e۶۵۹a۶۰ee۰fe۵d۹۸۶۶۴۸۱۶c۷۰e۳b۶e۸d۷۹۱۶۹cbea
• ۲۲۶۴c۲f۲c۲d۵a۰d۶d۶۲c۳۳cadb۸۴۸۳۰۵a۸fff۸۱cdd۷۹c۴d۷۵۶۰۰۲۱cfb۳۰۴a۱۲۱
• ۳c۶۸facf۰۱aede۷bcd۸c۲aea۸۵۳۳۲۴a۲e۶a۰ec۸b۰۲۶d۹۵c۷f۵۰a۴۶d۷۷۳۳۴c۲d۲
• a۱۴۶f۸۴a۰۱۷۹۱۲۴d۹۶a۷۰۷f۱۹۲f۴c۰۶c۰۷۶۹۰e۷۴۵cffaef۵۲۱fcda۹۶۳۳۷۶۶a۴۴
• abc۳۵bb۹۴۳۴۶۲۳۱۲۴۳۷f۰c۴۲۷۵b۰۱۲e۸ec۰۳۸۹۹ab۸۶d۳۵۳۱۴۳d۹۲cbefedd۷f۹d
• ۹۰۸f۲dfed۶c۱۲۲b۴۶e۹۴۶fe۸۸۳۹feb۹۲۱۸cb۰۹۵f۱۸۰f۸۶c۴۳۶۵۹۴۴۸e۲f۷۰۹fc۷
• ۳۴۹۱bc۶df۲۷۸۵۸۲۵۷db۲۶b۹۱۳da۸c۳۵c۸۳a۰e۴۸cf۸۰de۷۰۱a۴۵a۳۰a۳۰۵۴۴۷۰۶d