In der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft haben Strafverfolgungsbehörden Fortschritte bei der Aufdeckung von DarkGate, Malware-Entwicklern, Bedrohungsakteuren und Forenmanagern verzeichnet.
Gleichzeitig haben sie vermehrt die Kontrolle über Command-and-Control-Server übernommen, was zur Unterbrechung von Malware-Verbreitungsnetzen führte. In diesem dynamischen Umfeld ist das Auftauchen neuer Akteure sowie die Anpassung bestehender Akteure kein Zufall. Ein jüngstes Beispiel für diese Entwicklung ist die Erscheinung der wandlungsfähigen Malware, die eine Namensänderung von Bedrohungsakteuren und Modifizierung von Malware-Familien aufzeigt. Nach der Zerschlagung der Qbot-Infrastruktur hat die Verbreitung von DarkGate stark zugenommen, was die anhaltende Evolution von Cyberbedrohungen verdeutlicht.
DarkGate, PikaBot und Qakbot
Cofense hat Ähnlichkeiten zwischen DarkGate und PikaBot-Phishing-Kampagnen festgestellt, die auf Qakbot-Techniken zurückgehen. Dies weist auf mögliche unbekannte Verbindungen oder Anpassungen bestehender Techniken hin und unterstreicht die Komplexität moderner Cyberbedrohungen. DarkGate, auch bekannt als MehCrypter, fungiert sowohl als Loader-Malware als auch als RAT und kann daher verschiedene bösartige Aktionen ausführen. Darunter den Diebstahl sensibler Daten und den Einsatz von Kryptowährungs-Minern. Die Malware wird hauptsächlich durch Phishing verbreitet, oft über Themen im Zusammenhang mit Browser-Updates sowie durch Malvertising und SEO Poisoning. Eine besondere Eigenschaft ist die Verwendung von Autolt, einer Skriptsprache zur Automatisierung von Windows-GUI und allgemeinen Skriptaufgaben. Diese Funktion ermöglicht es den Benutzern, Skripte zu erstellen, die Aufgaben wie Tastendrücke und Mausbewegungen automatisieren, was besonders für die Installation von Software und Systemverwaltung nützlich ist.
Die Malware wird auch über gefälschte Browser-Update-Themen verbreitet. Dafür werden Phishing-URLs und Traffic Distribution Systeme genutzt, um die bösartige Nutzlast herunterzuladen. Die Verbreitung der Malware wurde auch über Microsoft Teams beobachtet, wo Angreifer sich als CEO eines Unternehmens ausgaben und Teams-Einladungen als Teil ihrer Täuschungstaktik versendeten. Die Verwendung von Endpunkt-Schutzsystemen zur Erkennung und Blockierung von Malware ist entscheidend, wie das Beispiel DarkGate zeigt.
Mehr bei Logpoint.com
Über Logpoint Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.