اخبار امنیت و شبکه

بدافزار DarkGate

بدافزار DarkGate
29
آبان

بدافزار DarkGate

بدافزار DarkGate ، با قابلیت‌های سرقت گذرواژه و کاوش ارز

به تازگی بدافزار پیشرفته جدیدی با نام DarkGate کشف شده است که فعالیت‌های مخربی از قبیل حملات باج‌افزاری، سرقت اطلاعات احرازهویت، دسترسی راه دور و استخراج ارز دیجیتالی را می‌تواند انجام دهد.

به گزارش معاونت بررسی مرکز افتا به نقل از وب‌سایت Hackread، بدافزار DarkGate اولین بار در اواخر ماه دسامبر سال ۲۰۱۷ مشاهده شده است. این بدافزار اکنون از طریق فایل‌های تورنت توزیع می‌شود و عمدتا ایستگاه‌های کاری ویندوزی را هدف قرار می‌دهد.

 

DarkGate از پشتیبانی یک سیستم C&C بهره می‌برد بطوری که هنگام اجرای آن توسط کاربر، فرایندهای شناسایی را دور می‌زند.

فایل‌های تورنت آلوده، کدهای مخرب VBscript را در رایانه قربانی اجرا، پس از آن با سرور C&C ارتباط برقرار و فرایند کاوش ارز را آغاز می‌کند. سپس فعالیت‌های مخرب دیگری توسط بدافزار اجرا می‌شود.

اکثر اهداف این بدافزار در کشورهای فرانسه و اسپانیا مشاهده شده‌اند، اما دامنه آن به سرعت در حال گسترش در سراسر اروپا است.
بدافزار DarkGate که توسط پژوهشگران ensilo کشف شده، دارای قابلیت‌های پیشرفته دور زدن فرایندهای شناسایی ضدویروس‌ها است. همچنین بدافزار دارای یک قابلیت بازیابی است تا از حذف فایل‌های اصلی خود جلوگیری کند.
امکانات سرقت گذرواژه DarkGate شامل سرقت اطلاعات احرازهویت و تاریخچه و کوکی‌های مرورگر، و اطلاعات گفتگوهای برنامه اسکایپ است. پژوهشگران ادعا کرده‌اند که DarkGate با یک بدافزار سارق گذرواژه دیگر با نام Golroted در ارتباط است. علاوه بر این، بدافزار در سیستم قربانی رشته‌های مرتبط با کیف‌پول‌های ارزهای دیجیتالی و داده‌های دیگر در این باره را نیز جستجو می‌کند.

نشانه‌های آلودگی (IoC) این بدافزار:

دامنه‌ها:

• akamai.la
• hardwarenet.cc
• ec۲-۱۴-۱۲۲-۴۵-۱۲۷.compute-۱.amazonaws.cdnprivate.tel
• awsamazon.cc
• battlenet.la
• a۴۰-۷۷-۲۲۹-۱۳.deploy.static.akamaitechnologies.pw

نمونه‌های هش های بررسی شده:

• ۳۳۴۰۰۱۳b۰f۰۰fe۰c۹e۹۹۴۱۱f۷۲۲f۸f۳f۰baf۹ae۴f۴۰ac۷۸۷۹۶a۶d۴d۶۹۴b۴۶d۷b
• ۰c۳ef۲۰ede۵۳efbe۵eebca۵۰۱۷۱a۵۸۹۷۳۱a۱۷۰۳۷۱۴۷۱۰۲۸۳۸bdb۴a۴۱c۳۳f۹۴e۵
• ۳۳۴۰۰۱۳b۰f۰۰fe۰c۹e۹۹۴۱۱f۷۲۲f۸f۳f۰baf۹ae۴f۴۰ac۷۸۷۹۶a۶d۴d۶۹۴b۴۶d۷b
• ۰c۳ef۲۰ede۵۳efbe۵eebca۵۰۱۷۱a۵۸۹۷۳۱a۱۷۰۳۷۱۴۷۱۰۲۸۳۸bdb۴a۴۱c۳۳f۹۴e۵
• ۵۲c۴۷a۵۲۹e۴ddd۰۷۷۸dde۸۴b۷f۵۴e۱aea۳۲۶d۹f۸eeb۴ba۴۹۶۱a۸۷۸۳۵a۳d۲۹۸۶۶
• b۰۵۴۲a۷۱۹c۶b۲fc۵۷۵۹۱۵e۹e۴c۵۸۹۲۰cf۹۹۹ba۵c۳f۵۳۴۵۶۱۷۸۱۸a۹dc۱۴a۳۷۸b۴
• dadd۰ec۸۸۰۶d۵۰۶۱۳۷۸۸۹d۷f۱۵۹۵b۳b۵۴۴۷c۱ea۳۰۱۵۹۴۳۲b۱۹۵۲fa۹۵۵۱ecfba۵
• c۸۸eab۳۰fa۰۳c۴۴b۵۶۷bcb۴e۶۵۹a۶۰ee۰fe۵d۹۸۶۶۴۸۱۶c۷۰e۳b۶e۸d۷۹۱۶۹cbea
• ۲۲۶۴c۲f۲c۲d۵a۰d۶d۶۲c۳۳cadb۸۴۸۳۰۵a۸fff۸۱cdd۷۹c۴d۷۵۶۰۰۲۱cfb۳۰۴a۱۲۱
• ۳c۶۸facf۰۱aede۷bcd۸c۲aea۸۵۳۳۲۴a۲e۶a۰ec۸b۰۲۶d۹۵c۷f۵۰a۴۶d۷۷۳۳۴c۲d۲
• a۱۴۶f۸۴a۰۱۷۹۱۲۴d۹۶a۷۰۷f۱۹۲f۴c۰۶c۰۷۶۹۰e۷۴۵cffaef۵۲۱fcda۹۶۳۳۷۶۶a۴۴
• abc۳۵bb۹۴۳۴۶۲۳۱۲۴۳۷f۰c۴۲۷۵b۰۱۲e۸ec۰۳۸۹۹ab۸۶d۳۵۳۱۴۳d۹۲cbefedd۷f۹d
• ۹۰۸f۲dfed۶c۱۲۲b۴۶e۹۴۶fe۸۸۳۹feb۹۲۱۸cb۰۹۵f۱۸۰f۸۶c۴۳۶۵۹۴۴۸e۲f۷۰۹fc۷
• ۳۴۹۱bc۶df۲۷۸۵۸۲۵۷db۲۶b۹۱۳da۸c۳۵c۸۳a۰e۴۸cf۸۰de۷۰۱a۴۵a۳۰a۳۰۵۴۴۷۰۶d

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *