Большинство антивирусов не могут обнаружить новую вредоносную программу для кражи криптовалюты

[vovamen82]

В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа DarkGate, которая остается незамеченной для традиционных антивирусов
Большинство антивирусов не могут обнаружить новую вредоносную программу для кражи криптовалюты

В новой вредоносной кампании, нацеленной на опустошение кошельков для хранения криптовалюты жертв, используется вредоносная программа, которая остается незамеченной для традиционных антивирусов.

Угрозы используются во вредоносной атаке DarkGate – данная хакерская операция была обнаружена на прошлой неделе исследователями безопасности из enSilo.

Команда исследователей, сообщает, что DarkGate активно распространяется в Испании и Франции, заражая компьютеры Windows с помощью торрент-файлов.


Virustotal
В большинстве случаев торрент-файлы связаны с распространением пиратского контента, но сама технология не является запрещенной и может использоваться домашними и корпоративными пользователями для обмена крупными файлами. В данном случае инфицированные торрент-файлы выдают себя за пиратские копии телевизионных передач и сериалов, в том числе сериала «Ходячие мертвецы».

Вредоносное ПО DarkGate использует различные приемы обфускации кода, чтобы предотвратить обнаружение традиционными антивирусными программами. Командно-административная (С2) структура зловреда, которая позволяет операторам удаленно отправлять команды для передачи украденных данных, использует скрытые DNS записи в легитимных сервисах, таких как Akamai CDN и AWS.

За счет маскировки командного центра с помощью надежных DNS-служб вредоносная программа может обходить проверки репутации, которые обычно безошибочно распознают типичные угрозы, применяющие подозрительные службы и хостинг-платформы.

Кроме того, для сокрытия своего присутствия в системе DarkGate использует метод, известный как «Process Hollowing». Данная техника позволяет загружать надежное приложение в замороженном состоянии в качестве контейнера для вредоносного процесса, который в свою очередь может выполнять действия от имени надежной программы.

Угроза DarkGate также проводит ряд проверок, чтобы определить, были ли она загружена в изолированную виртуальную среду, которая применяется исследователями для анализа и распаковки вредоносного ПО. Более того, зловред умеет сканировать систему на предмет установленных антивирусов, в частности продуктов Avast, Bitdefender, Trend Micro и «Лаборатории Касперского».

Вредоносная программа использует также инструменты восстановления, чтобы предотвратить удаление критически важных для проведения атаки файлов.

Эксперты enSilo убеждены, что автор вредоносной программы потратил очень много времени и усилий, чтобы разработать техники защиты от обнаружения и, как показывает их собственное тестирование, «многие антивирусы не смогли обнаружить угрозу».

Во время исполнения, DarkGate использует сразу две техники обхода службы контроля учетных записей, чтобы получить права администратора, скачать и запустить дополнительную полезную нагрузку.

Эти вспомогательные пакеты позволяют DarkGate перехватывать учетные данные, связанные с кошельками для хранения криптовалюты жертв, запускать трояны-шифровальщики, создавать туннели удаленного доступа для операторов с целью взлома системы и выполнять операции майнинга криптовалюты.

enSilo сообщает, что управленческий модуль С2 контролируется отдельными операторами, которые получают уведомления о новых заражениях, связанных с криптокошельками от инструментов удаленного доступа, служащих для кражи цифровых монет.

Исследователи из enSilo опасаются дальнейшего развития угрозы в будущем. Анализ DarkGate показал, что зловред также связан с семейством вредоносных программ для кражи паролей Golroted, которые используют аналогичные техники для обхода службы контроля учетных записей.

[triod pentod]

просто пользователи очень вяло используют такой полезный метод
как постоянное добавление в свой hosts новых актуальных адресов
StevenBlack/hosts :
https://github.com/StevenBlack/hosts