DarkCloud: эволюция Stealer и его угроза кибербезопасности
В 2022 году мир кибербезопасности столкнулся с новым и сложным типом вредоносного ПО, известным как DarkCloud. Это серьезная угроза, которую эксперты прогнозируют продолжит оставаться актуальной и в 2023 году. DarkCloud классифицируется как Stealer, что подразумевает его основное назначение – кражу конфиденциальной информации.
Методы распространения DarkCloud
DarkCloud в основном распространяется через фишинговые кампании, где злоумышленники маскируются под законные организации. Наиболее распространенные стратегии включают:
- Использование квитанций об оплате;
- Мошеннические сообщения о штрафах;
- Целевая атака на отделы кадров и аналогичные сектора.
Несмотря на преобладание фишинга, DarkCloud также ассоциируется с рядом других тактик, таких как вредоносная реклама и подпольные атаки. При запуске DarkCloud часто работает в тандеме с другими вредоносными программами, такими как DbatLoader и ClipBanker, что указывает на присутствие сложной экосистемы угроз.
Процесс заражения
Процесс заражения тем самым начинается, когда жертва переходит по фишинговой ссылке или загружает вредоносный файл. Эти файлы могут быть представлены в различных форматах, таких как:
- Сжатые файлы;
- Зараженные документы;
- Сценарии на различных языках программирования.
Вредоносное ПО загружает необходимые компоненты для своей работы, которые часто затемнены или зашифрованы. Это приводит к краже конфиденциальной информации, такой как:
- История посещений браузера;
- Учетные данные FTP;
- Скриншоты;
- Нажатия клавиш.
Разнообразие методов загрузки
Анализ DarkCloud показывает разнообразие используемых загрузчиков, демонстрируя различную сложность структуры в разных образцах. Некоторые загрузчики, например, файлы JAR, используют встроенные ресурсы для получения дальнейших этапов выполнения, а другие, такие как скрипты PowerShell и VBS, применяют методы обфускации для получения полезной информации через установление соединения.
Проблемы для аналитиков угроз
Одной из постоянных проблем для аналитиков является зависимость образцов от определенных доменов для получения информации о последующих этапах. Как только связанные домены становятся неактивными, дальнейший анализ затрудняется. Аналитики зачастую полагаются на статический анализ для определения функциональности DarkCloud, так как динамический анализ становится проблематичным в отсутствии доступных образцов.
Методы анализа включают:
- Изменение файлов локальных хостов для перенаправления обращений на локальный компьютер;
- Наблюдение за действиями вредоносного ПО в контролируемых средах.
Заключение
Анализ операционных методик DarkCloud подчеркивает его эволюцию как вредоносной угрозы, характеризующейся стратегическим использованием социальной инженерии и технической адаптивностью. Это ставит перед специалистами по кибербезопасности постоянную задачу по мониторингу и снижению рисков, связанных с такими эволюционирующими угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
