In der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft haben Strafverfolgungsbehörden Fortschritte bei der Aufdeckung von DarkGate, Malware-Entwicklern, Bedrohungsakteuren und Forenmanagern verzeichnet.
Gleichzeitig haben sie vermehrt die Kontrolle über Command-and-Control-Server übernommen, was zur Unterbrechung von Malware-Verbreitungsnetzen führte. In diesem dynamischen Umfeld ist das Auftauchen neuer Akteure sowie die Anpassung bestehender Akteure kein Zufall. Ein jüngstes Beispiel für diese Entwicklung ist die Erscheinung der wandlungsfähigen Malware, die eine Namensänderung von Bedrohungsakteuren und Modifizierung von Malware-Familien aufzeigt. Nach der Zerschlagung der Qbot-Infrastruktur hat die Verbreitung von DarkGate stark zugenommen, was die anhaltende Evolution von Cyberbedrohungen verdeutlicht.
DarkGate, PikaBot und Qakbot
Cofense hat Ähnlichkeiten zwischen DarkGate und PikaBot-Phishing-Kampagnen festgestellt, die auf Qakbot-Techniken zurückgehen. Dies weist auf mögliche unbekannte Verbindungen oder Anpassungen bestehender Techniken hin und unterstreicht die Komplexität moderner Cyberbedrohungen. DarkGate, auch bekannt als MehCrypter, fungiert sowohl als Loader-Malware als auch als RAT und kann daher verschiedene bösartige Aktionen ausführen. Darunter den Diebstahl sensibler Daten und den Einsatz von Kryptowährungs-Minern. Die Malware wird hauptsächlich durch Phishing verbreitet, oft über Themen im Zusammenhang mit Browser-Updates sowie durch Malvertising und SEO Poisoning. Eine besondere Eigenschaft ist die Verwendung von Autolt, einer Skriptsprache zur Automatisierung von Windows-GUI und allgemeinen Skriptaufgaben. Diese Funktion ermöglicht es den Benutzern, Skripte zu erstellen, die Aufgaben wie Tastendrücke und Mausbewegungen automatisieren, was besonders für die Installation von Software und Systemverwaltung nützlich ist.
Die Malware wird auch über gefälschte Browser-Update-Themen verbreitet. Dafür werden Phishing-URLs und Traffic Distribution Systeme genutzt, um die bösartige Nutzlast herunterzuladen. Die Verbreitung der Malware wurde auch über Microsoft Teams beobachtet, wo Angreifer sich als CEO eines Unternehmens ausgaben und Teams-Einladungen als Teil ihrer Täuschungstaktik versendeten. Die Verwendung von Endpunkt-Schutzsystemen zur Erkennung und Blockierung von Malware ist entscheidend, wie das Beispiel DarkGate zeigt.
Mehr bei Logpoint.com
Über Logpoint Logpoint schützt die Gesellschaft in einer digitalen Welt, indem es Kunden und Managed Security Service Providern (MSSPs) hilft, Cyberangriffe zu erkennen. Durch die Kombination von zuverlässiger Technologie mit einem tiefgreifenden Verständnis der Herausforderungen im Bereich der Cybersicherheit erleichtert Logpoint die Sicherheitsabläufe und gibt Unternehmen die Freiheit, sich weiterzuentwickeln. Die SIEM- und NDR-Technologien von Logpoint verbessern die Transparenz und bieten einen mehrschichtigen Ansatz für die Cybersicherheit, der Kunden und MSSPs in Europa hilft, sich in der komplexen Bedrohungslandschaft zurechtzufinden.