压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

歐洲的Windows用戶最近成為復(fù)雜惡意軟件活動(dòng)的目標(biāo)，該活動(dòng)為攻擊者提供了多種攻擊手段，包括加密貨幣挖礦，憑證竊取，勒索軟件和遠(yuǎn)程訪問接管。

據(jù)報(bào)道，該惡意軟件被其開發(fā)者命名為DarkGate，它通過偽裝成流行娛樂產(chǎn)品（如西班牙電影Campeones和美劇《行尸走肉》）的Torrent文件進(jìn)行傳播。這些文件被下載后，將在下載設(shè)備上執(zhí)行惡意VBscripts。 設(shè)備被感染后，第一個(gè)惡意軟件與C2服務(wù)器的交互將啟動(dòng)挖礦進(jìn)程，從那時(shí)起，DarkGate有可能進(jìn)行進(jìn)一步的攻擊。

終端安全平臺(tái)enSilo于11月13日發(fā)表文章稱，該活動(dòng)的目標(biāo)用戶主要集中在西班牙和法國(guó)。enSilo研究員Adi Zeligson于2017年12月27日發(fā)現(xiàn)了該威脅，他認(rèn)為，DarkGate似乎與之前已知的名為Golroted的密碼竊取工具密切相關(guān)。

據(jù)enSilo報(bào)道，DarkGate的密碼竊取組件使用NirSoft工具竊取用戶憑證、瀏覽器cookie、瀏覽器歷史記錄和Skype聊天記錄。但研究人員發(fā)現(xiàn)，攻擊者似乎更青睞于加密貨幣憑證。

除了多功能性之外，還值得注意的是，DarkGate實(shí)現(xiàn)了進(jìn)程鏤空（Process Hollowing）行為——將合法進(jìn)程加載到系統(tǒng)上以便將其用作隱藏惡意代碼的“掩護(hù)”。為了實(shí)現(xiàn)這一目的，DarkGate還濫用了vbc.exe或regasm.exe進(jìn)程。

惡意軟件還依賴于UAC（用戶帳戶控制）繞過功能來提升其權(quán)限。為此，它采用了兩個(gè)不同的技巧，利用了定時(shí)任務(wù)DiskCleanup和合法進(jìn)程文件eventvwr.exe（即Windows事件查看器Snapin Launcher）。

DarkGate的另一個(gè)顯著特點(diǎn)是其人性化的“反應(yīng)式”C2基礎(chǔ)設(shè)施由真人構(gòu)成。研究人員報(bào)道，這些操作人員“根據(jù)收到加密錢包的新感染通知采取行動(dòng)”。 此外，“當(dāng)操作人員檢測(cè)到任何有趣的活動(dòng)時(shí)，他們繼續(xù)在“被感染的”機(jī)器上安裝自定義遠(yuǎn)程訪問工具以進(jìn)行手動(dòng)操作。”

為了隱藏這些特殊的C2基礎(chǔ)設(shè)施，DarkGate對(duì)其惡意服務(wù)器（包括Akamai CDN或AWS）進(jìn)行了偽裝。DarkGate還采取措施通過監(jiān)視沙箱或虛擬環(huán)境中常見的情況以及檢查特定AV解決方案的存在來避免檢測(cè)。

enSilo研究人員認(rèn)為，攻擊者的目標(biāo)是最大限度地獲取貨幣收益，因此傾向于將矛頭指向有價(jià)值的目標(biāo)，例如擁有重要計(jì)算資源的組織。

原文鏈接：https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/