Новости DarkGate и PikaBot продолжают наследие QBot после его ликвидации

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Преемники вредоносного ПО принимают эстафету по заражению сетей.


jxyf45l35qveecwpegnwvhanjj37hvq6.jpg


Вредоносные программы DarkGate и PikaBot распространяются киберпреступниками с помощью тех же методов, что и атаках с использованием трояна QakBot, который Для просмотра ссылки Войди или Зарегистрируйся в августе. Об этом Для просмотра ссылки Войди или Зарегистрируйся компания Cofense в своем отчете.

Платформа QakBot (QBot, Pinkslipbot), Для просмотра ссылки Войди или Зарегистрируйся в ходе совместной операции правоохранительных органов под кодовым названием Duck Hunt в августе этого года. Qakbot заразил более 700 000 компьютеров жертв, способствовало распространению вирусов-вымогателей и нанес ущерб на сотни миллионов долларов бизнесу, медицинским учреждениям и государственным структурам по всему миру.

DarkGate и PikaBot способны доставлять дополнительные нагрузки на зараженные хосты, что делает их привлекательными для злоумышленников. Сходство PikaBot с QakBot было отмечено аналитиками исходя из одинаковых методов распространения, кампании и поведения вредоносных программ.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC -подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell , кейлоггинг, перехват буфера обмена и кражу информации (файлов, данных браузера).

В отчёте Cofense отмечается, что соединение двунаправленное, то есть атакующие могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, выкачивать данные или выполнять другие злонамеренные действия.

Анализ Cofense фишинговой кампании показал, что она направлена на широкий круг секторов, а цепочки атак включают вредоносный URL -адрес в фишинговых письмах, ведущий на ZIP-архив. ZIP-архив содержит JavaScript-загрузчик, который, в свою очередь, обращается ко второму URL, чтобы загрузить и запустить вредоносную программу DarkGate или PikaBot. Примечательно, что в одном из случаев в атаке использовались файлы надстройки Excel (XLL) вместо JavaScript-загрузчиков для доставки окончательных нагрузок.

Успешное заражение DarkGate или PikaBot может привести к доставке ПО для кражи криптовалюты, установки средств отслеживания, вымогательского ПО или любого другого вредоносного файла, который злоумышленники захотят установить на машину жертвы.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий от удаленного доступа до кражи данных. В июне Для просмотра ссылки Войди или Зарегистрируйся MalSpam, в ходе которой устройства жертв заражались DarkGate.По словам специалистов Telekom Security, внезапный всплеск активности DarkGate может быть связан с тем, что разработчик вредоноса начал сдавать его в аренду ограниченному кругу аффилированных лиц. Цены на подписку DarkGate начинаются от $1000 в день и доходят до $100 000 в год.

Ранее «Лаборатория Касперского» Для просмотра ссылки Войди или Зарегистрируйся по распространению вредоносного ПО PikaBot среди корпоративных пользователей. Атака началась в середине мая и достигла максимума с 15 по 18 числа. За этот период было обнаружено около 5 тысяч таких писем. PikaBot — новое семейство зловредов, которое имеет сходства с известным банковским троянцем Qbot. PikaBot может устанавливать на зараженные устройства другие зловреды или выполнять удаленные команды.
 
Источник новости
www.securitylab.ru

Похожие темы