Phần mềm chống vi-rút truyền thống đã gặp khó khăn trong việc phát hiện phần mềm độc hại được sử dụng trong chiến dịch.
Một chiến dịch mới, đang hoạt động đang sử dụng phần mềm độc hại có khả năng vượt qua các giải pháp chống vi-rút truyền thống để làm trống các ví tiền điện tử.
Phần mềm độc hại này đang được sử dụng trong chiến dịch DarkGate, một hoạt động hacking chưa bị phát hiện trước đó đã được các nhà nghiên cứu bảo mật enSilo phát hiện trong tuần qua.
Theo nhóm nghiên cứu, DarkGate hiện đang được tiến hành ở Tây Ban Nha và Pháp, nhắm vào các máy tính Microsoft Windows bằng các tệp tin torrent.
Các tệp Torrent thường được liên kết với nội dung vi phạm bản quyền, nhưng bản thân công nghệ không phải là bất hợp pháp và có thể được người tiêu dùng và doanh nghiệp sử dụng để chia sẻ các tệp có kích thước lớn. Tuy nhiên, trong trường hợp này, các tệp .torrent đã được ngụy trang là các phiên bản lậu của các chương trình truyền hình và phim nổi tiếng như The Walking Dead.
Các phần mềm độc hại của DarkGate sử dụng một loạt các kỹ thuật obfuscation để phá vỡ các giải pháp chống virus truyền thống. Cấu trúc lệnh và kiểm soát của phần mềm độc hại (C2) cho phép người vận hành gửi các lệnh từ xa và phần mềm độc hại chuyển dữ liệu bị đánh cắp, bị che giấu trong bản ghi DNS từ các dịch vụ hợp pháp bao gồm Akamai CDN và AWS.
Bằng cách ẩn C2 dưới các dịch vụ DNS có uy tín, điều này cho phép phần mềm độc hại vượt qua các bài kiểm tra về uy tín.
Ngoài ra, DarkGate sử dụng các kiểm tra và hành động dựa trên nhà cung cấp, bao gồm một phương thức được gọi là “xử lý rỗng” để tránh bị phát hiện bởi phần mềm chống vi rút. Kỹ thuật này yêu cầu một chương trình phần mềm hợp pháp được tải trong trạng thái treo – nhưng chỉ hoạt động như một thùng chứa cho các quá trình độc hại mà sau đó có thể hoạt động thay vì chương trình đáng tin cậy.
DarkGate cũng sẽ thực hiện một số kiểm tra nhằm xác định xem nó có hạ cánh trong môi trường sandbox hay không – được các nhà nghiên cứu sử dụng để phân tích và giải nén phần mềm độc hại – và sẽ thực hiện quét các hệ thống chống virut phổ biến, chẳng hạn như Avast, Bitdefender, Trend Micro và Kaspersky.
Phần mềm độc hại cũng sử dụng các công cụ khôi phục để ngăn các tệp quan trọng đối với hoạt động của nó khỏi bị xóa.
enSilo nói rằng tác giả của phần mềm độc hại “đã đầu tư thời gian và nỗ lực đáng kể vào phần còn lại không bị phát hiện” và trong quá trình thử nghiệm, người ta thấy rằng “hầu hết các nhà cung cấp chương trình chống virut đều không phát hiện ra nó”.
Khi thực hiện, DarkGate thực hiện hai kỹ thuật bỏ qua Kiểm soát Tài khoản Người dùng (UAC – User Account Control) để có được các đặc quyền hệ thống, tải xuống và thực thi một loạt các phần mềm độc hại bổ sung.
Các gói này cung cấp cho DarkGate khả năng lấy cắp thông tin xác thực liên quan đến ví tiền điện tử của nạn nhân, thực thi tải trọng ransomware, tạo đường hầm truy cập từ xa để các nhà khai thác chiếm đoạt hệ thống và thực hiện các hoạt động khai thác tiền điện tử bí mật.
Theo enSilo, C2 được giám sát bởi các nhà khai thác con người, hành động khi họ được cảnh báo với các sự xâm nhập mới liên quan đến ví tiền điện tử bằng cách cài đặt các công cụ truy cập từ xa cần thiết để thỏa hiệp các quỹ tiền ảo.
Các nhà nghiên cứu từ enSilo mong đợi phần mềm độc hại tiếp tục phát triển trong tương lai. Phân tích cũng tiết lộ rằng DarkGate được kết nối với gia đình phần mềm độc hại ăn cắp mật khẩu Golroted, cũng sử dụng các kỹ thuật rỗng và kỹ thuật UAC tương tự.
Nhóm nghiên cứu cho biết: “Rõ ràng là DarkGate đang được phát triển liên tục vì nó đang được cải thiện với mọi biến thể mới. Trong khi khai thác tiền điện tử, trộm cắp mật mã, và khả năng ransomware cho thấy mục tiêu là lợi ích tài chính, nó không thể hiện rõ ràng nếu tác giả có động cơ khác. Điều tra thêm là cần thiết để xác định động lực cuối cùng đằng sau phần mềm độc hại”.
Phần mềm độc hại này đang được sử dụng trong chiến dịch DarkGate, một hoạt động hacking chưa bị phát hiện trước đó đã được các nhà nghiên cứu bảo mật enSilo phát hiện trong tuần qua.
Theo nhóm nghiên cứu, DarkGate hiện đang được tiến hành ở Tây Ban Nha và Pháp, nhắm vào các máy tính Microsoft Windows bằng các tệp tin torrent.
Các tệp Torrent thường được liên kết với nội dung vi phạm bản quyền, nhưng bản thân công nghệ không phải là bất hợp pháp và có thể được người tiêu dùng và doanh nghiệp sử dụng để chia sẻ các tệp có kích thước lớn. Tuy nhiên, trong trường hợp này, các tệp .torrent đã được ngụy trang là các phiên bản lậu của các chương trình truyền hình và phim nổi tiếng như The Walking Dead.
Các phần mềm độc hại của DarkGate sử dụng một loạt các kỹ thuật obfuscation để phá vỡ các giải pháp chống virus truyền thống. Cấu trúc lệnh và kiểm soát của phần mềm độc hại (C2) cho phép người vận hành gửi các lệnh từ xa và phần mềm độc hại chuyển dữ liệu bị đánh cắp, bị che giấu trong bản ghi DNS từ các dịch vụ hợp pháp bao gồm Akamai CDN và AWS.
Bằng cách ẩn C2 dưới các dịch vụ DNS có uy tín, điều này cho phép phần mềm độc hại vượt qua các bài kiểm tra về uy tín.
Ngoài ra, DarkGate sử dụng các kiểm tra và hành động dựa trên nhà cung cấp, bao gồm một phương thức được gọi là “xử lý rỗng” để tránh bị phát hiện bởi phần mềm chống vi rút. Kỹ thuật này yêu cầu một chương trình phần mềm hợp pháp được tải trong trạng thái treo – nhưng chỉ hoạt động như một thùng chứa cho các quá trình độc hại mà sau đó có thể hoạt động thay vì chương trình đáng tin cậy.
DarkGate cũng sẽ thực hiện một số kiểm tra nhằm xác định xem nó có hạ cánh trong môi trường sandbox hay không – được các nhà nghiên cứu sử dụng để phân tích và giải nén phần mềm độc hại – và sẽ thực hiện quét các hệ thống chống virut phổ biến, chẳng hạn như Avast, Bitdefender, Trend Micro và Kaspersky.
Phần mềm độc hại cũng sử dụng các công cụ khôi phục để ngăn các tệp quan trọng đối với hoạt động của nó khỏi bị xóa.
enSilo nói rằng tác giả của phần mềm độc hại “đã đầu tư thời gian và nỗ lực đáng kể vào phần còn lại không bị phát hiện” và trong quá trình thử nghiệm, người ta thấy rằng “hầu hết các nhà cung cấp chương trình chống virut đều không phát hiện ra nó”.
Khi thực hiện, DarkGate thực hiện hai kỹ thuật bỏ qua Kiểm soát Tài khoản Người dùng (UAC – User Account Control) để có được các đặc quyền hệ thống, tải xuống và thực thi một loạt các phần mềm độc hại bổ sung.
Các gói này cung cấp cho DarkGate khả năng lấy cắp thông tin xác thực liên quan đến ví tiền điện tử của nạn nhân, thực thi tải trọng ransomware, tạo đường hầm truy cập từ xa để các nhà khai thác chiếm đoạt hệ thống và thực hiện các hoạt động khai thác tiền điện tử bí mật.
Theo enSilo, C2 được giám sát bởi các nhà khai thác con người, hành động khi họ được cảnh báo với các sự xâm nhập mới liên quan đến ví tiền điện tử bằng cách cài đặt các công cụ truy cập từ xa cần thiết để thỏa hiệp các quỹ tiền ảo.
Các nhà nghiên cứu từ enSilo mong đợi phần mềm độc hại tiếp tục phát triển trong tương lai. Phân tích cũng tiết lộ rằng DarkGate được kết nối với gia đình phần mềm độc hại ăn cắp mật khẩu Golroted, cũng sử dụng các kỹ thuật rỗng và kỹ thuật UAC tương tự.
Nhóm nghiên cứu cho biết: “Rõ ràng là DarkGate đang được phát triển liên tục vì nó đang được cải thiện với mọi biến thể mới. Trong khi khai thác tiền điện tử, trộm cắp mật mã, và khả năng ransomware cho thấy mục tiêu là lợi ích tài chính, nó không thể hiện rõ ràng nếu tác giả có động cơ khác. Điều tra thêm là cần thiết để xác định động lực cuối cùng đằng sau phần mềm độc hại”.
