Національний центр кібербезпеки (NCSC) знову звернув увагу на збільшення кількості небезпечних електронних листів після невеликої перерви протягом останніх двох тижнів. У цих листах використовуються фрагменти тексту з попереднього електронного листування, щоб змусити одержувачів повірити в те, що контакт вже був встановлений. Оскільки і відправник, і попереднє спілкування знайомі жертві, зростає ймовірність того, що вона перейде за посиланням, яке міститься в електронному листі, що призведе до встановлення шкідливого програмного забезпечення. У цьому випадку йдеться про "DarkGate" - шкідливе програмне забезпечення з розширеними можливостями та механізмом, який пропонує програму-вимагач.
Тактика обману: старе електронне листування як зброя
Метод використання старих історій спілкування для здійснення оманливих маневрів не є чимось новим. Ще у 2019 році шкідливе програмне забезпечення "Emotet" використовувало цю техніку, відому як "динамічний фішинг", щоб обманом змусити жертву відкрити документ. Шкідливе програмне забезпечення шукало електронні листи у файлах Outlook жертв на заражених пристроях і використовувало їх для надсилання шкідливого програмного забезпечення іншим потенційним жертвам. Оскільки старе повідомлення було відоме одержувачу, ймовірність відкриття шкідливого вкладення зростала.
Спадщина шкідливого програмного забезпечення "Emotet" та продовження з "Qakbot
Після тимчасової деактивації мережі "Emotet" на початку 2021 року шкідливе програмне забезпечення "Qakbot" перебрало на себе цей метод, використовуючи старі комунікації. Хоча "Qakbot" використовувався вже понад десять років, він тимчасово поширювався через мережу "Emotet" як додатковий шкідливий модуль. Цікаво, що влітку 2020 року автори "Qakbot" реалізували так званий "модуль збору електронної пошти", який використовував викрадені облікові дані для вилучення листів з клієнтів Microsoft Outlook жертв і використання їх для подальших атак.
У серпні 2023 року "Qakbot" спіткала доля, схожа на долю "Emotet". Правоохоронні органи США та Європи взяли під контроль командно-контрольну інфраструктуру ботнету. В результаті зловмисники втратили контроль над інфікованими комп'ютерами. Однак зловмисники не були спіймані, а спам-інфраструктура була демонтована лише частково.
Відродження "DarkGate": нова загроза з розширеними функціями
Останніми тижнями "DarkGate" опинився в центрі уваги, оскільки це шкідливе програмне забезпечення використовує технологію старої комунікації. У цьому випадку до спам-повідомлення додається PDF-документ, що містить посилання на шкідливе програмне забезпечення.
"DarkGate" був активний з 2017 року, але лише цього літа шкідливе програмне забезпечення набуло більшої популярності, коли ймовірний розробник оголосив про нові можливості. Ці функції виходять за рамки традиційного завантажувача і включають прихований віддалений доступ, зворотний проксі-сервер і викрадач токенів Discord, а також можливість викрадення історії браузера. Вважається, що злочинні групи, які раніше використовували "Qakbot", тепер перейшли на "DarkGate".
Старе спілкування, нове насильство
Варто зазначити, що деякі комунікації, які використовуються в останніх версіях шкідливого програмного забезпечення, є дуже старими. У цьому випадку він датується 2017 роком, тому можна припустити, що наразі шкідливе програмне забезпечення не перехоплює поточні електронні повідомлення, а отримує доступ до баз даних, які були викрадені багато років тому іншими зловмисниками.


Згідно зі звітом постачальника послуг безпеки Trendmicro, "DarkGate" також використовує інші канали зв'язку і поширюється, наприклад, через зламані акаунти Skype і Microsoft Teams. Як і у випадку з електронною поштою, зламаний обліковий запис Skype вже контактував з жертвою і, як видається, надав їй PDF-файл. Однак насправді це шкідливий скрипт VB (Visual Basic Script). Цей скрипт намагається завантажити та встановити шкідливе програмне забезпечення.
NCSC пропонує наступні поради про те, як захиститися від зараження шкідливим програмним забезпеченням:
- Майте на увазі, що шкідливі електронні листи можуть також надходити від відомих вам відправників.
- Будьте пильні, якщо раніше перерване спілкування несподівано відновлюється.
- Відкривайте вкладення електронної пошти з обережністю, навіть якщо вони надійшли з нібито надійних джерел.
Посилання на джерело
Ця інформація надана Національним центром кібербезпеки (NCSC). Відвідайте офіційний веб-сайт NCSC для отримання додаткової інформації та ресурсів з кібербезпеки: https://www.ncsc.admin.ch/ncsc/de/home.html.