Эксперты enSilo проанализировали модульного Windows-зловреда, способного воровать учетные данные, добывать криптовалюту, шифровать файлы и открывать удаленный доступ к зараженной машине. На настоящий момент активность DarkGate, как его именует автор, ограничена территорией Западной Европы и особенно высока в Испании и Франции.

Первый образец DarkGate исследователи обнаружили в конце декабря прошлого года. Распространяется новобранец через торрент-файлы и вредоносные вложения в поддельные письма. Цепочка заражения начинается с дроппера VBscript, который загружает в систему несколько файлов, в том числе скрипт AutoIt, шелл-код и основной компонент, отвечающий за связь с C&C-сервером и выполнение получаемых команд.

Анализ показал, что характерной особенностью новой вредоносной программы является использование техники внедрения кода, известной как process hollowing. DarkGate создает новый экземпляр процесса vbc.exe или regasm.exe  в состоянии ожидания и затем подменяет легитимный код вредоносным посредством манипуляций с выделенной памятью. Примечательно, что, обнаружив на компьютере жертвы антивирус «Лаборатории Касперского», он отказывается от этого трюка и загружает вредоносный код в память как часть шелл-кода.

Чтобы повысить свои привилегии, зловред пускает в ход механизмы обхода UAC, основанные на использовании запланированной задачи DiskCleanup или легитимного процесса eventvwr.exe (соответствует компоненту Event Viewer Snapin Launcher, позволяющему удаленно или локально просматривать журнал событий).

Использование запланированной задачи для обхода UAC и техники process hollowing роднит DarkGate с похитителем информации Golroted. Аналитики также отметили большое сходство кодовой базы обоих зловредов. К тому же Golroted, по данным enSilo, тоже распространяется через торрент-файлы.

Однако в отличие от своего предшественника DarkGate снабжен более современными средствами самозащиты. Он способен определять свой запуск в песочнице или на виртуальной машине и вооружен списком из двух десятков процессов, соответствующих популярным антивирусным решениям. Обнаружив совпадение с какой-либо позицией, он сообщает об этом в центр управления — кроме случаев с продуктами «Лаборатории Касперского», Trend Micro и IOBIt. Процессы IOBit зловред сразу пытается завершить, в присутствии антивируса Trend Micro он воздерживается от запуска кейлоггера, а наличие защиты от «Лаборатории Касперского» проверяет несколько раз — при распаковке, до загрузки вредоносного кода в память, перед запуском кейлоггера и переносом своих файлов в другие папки (чтобы восстановить свое присутствие в случае удаления).

После первого обращения к центру управления DarkGate загружает и запускает криптомайнер. Его компонент, предназначенный для хищения информации, позволяет красть учетные данные, куки из браузеров, историю браузера и сообщения Skype. Однако больше всего операторов зловреда интересуют криптокошельки. Поскольку управление DarkGate осуществляется в ручном режиме, его хозяева сразу реагируют на сообщения о подобных находках и загружают на зараженную машину кастомный инструмент удаленного администрирования.

По словам аналитиков, операторы Windows-зловреда очень быстро принимают меры при изменении обстановки в своих владениях. Так, обнаружив подставу, они тут же отдали на тестовый компьютер специализированный модуль для шифрования файлов.

Свой C&C-сервер DarkGate отыскивает, используя шесть вшитых в код доменных имен. Чтобы уберечь командную инфраструктуру от обнаружения, злоумышленники маскируют свои домены под легитимные сервисы, выбирая для них такие имена, как AkamaiTechnologies и AWSAmazon. Они также создают на DNS-серверах записи, похожие на обратные DNS-записи (PTR) Akamai и Amazon, так как достоверность PTR редко проверяется, а при мониторинге сетевого трафика на это вообще не обращают внимания.

Категории: Аналитика, Вредоносные программы, Главное