TM_373

12 18|10|2023 #373 Το κακόβουλο λογισμικό DarkGate, έχει παρατηρηθεί ότι εξαπλώνεται μέσω υπηρεσιών άμεσων μηνυμάτων, όπως το Skype και το Microsoft Teams. Σε αυτές τις επιθέσεις, οι εφαρμογές ανταλλαγής μηνυμάτων χρησιμοποιού- νται για την παράδοση ενός Visual Basic for Applications (VBA), που μεταμφιέ- ζεται σε έγγραφο PDF, το οποίο, όταν ανοίγει, ενεργοποιεί τη λήψη και εκτέ- λεση του κώδικα AutoIt, που έχει σχεδι- αστεί για την εκκίνηση του κακόβουλου λογισμικού. «Δεν είναι σαφές πώς παραβιάστηκαν οι αρχικοί λογαριασμοί των εφαρμογών άμεσων μηνυμάτων, ωστόσο η υπόθεση είναι ότι αυτό έγινε είτε μέσω διαρροής διαπιστευτηρίων που διατίθενται μέσω υπόγειων φόρουμ είτε μέσω προηγού- μενης παραβίασης του μητρικού οργανι- σμού», ανέφερε η Trend Micro σε ανάλυ- σή της την προηγούμενη εβδομάδα. Το DarkGate, που εντοπίστηκε για πρώτη φορά από την Fortinet τον Νο- έμβριο του 2018, είναι ένα κακόβουλο λογισμικό που ενσωματώνει ένα ευρύ φάσμα χαρακτηριστικών για τη συλλο- γή ευαίσθητων δεδομένων από προ- γράμματα περιήγησης στο διαδίκτυο, τη διεξαγωγή εξόρυξης κρυπτονομι- σμάτων και επιτρέπει στους χειριστές του να ελέγχουν εξ αποστάσεως τους μολυσμένους κεντρικούς υπολογιστές. Οι εκστρατείες που διανέμουν το κα- κόβουλο λογισμικό έχουν σημειώσει έξαρση τους τελευταίους μήνες, αξι- οποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου phishing και μηχανές αναζήτησης (SEO), για να παρασύρουν ανυποψίαστους χρήστες στην εγκατά- στασή του. Η έξαρση ακολουθεί την απόφαση του ιδρυτή του κακόβουλου λογισμικού να διαφημίσει το κακόβουλο λογισμικό σε φόρουμ hacker και να το νοικιάσει σε βάση malware-as-a-service σε άλλους φορείς απειλών μετά από χρόνια ιδιωτι- κής χρήσης του. Εξάπλωση του DarkGate μέσω υπηρεσιών μηνυμάτων Η Cyble δ ημοσίευσε πρόσφατα την έκθεση ransomware του τρίτου τριμήνου. Σε αυτήν, η εταιρεία εμβαθύ- νει στις σημαντικές εξελίξεις από το τρίτο τρίμη- νο του 2023 και προσφέρει προβλέψεις για τα επόμενα τρίμηνα. Πιο συγκεκριμένα, όπως αναφέρεται στην έκθε- ση, η Cyble έχει παρατηρήσει τους τελευταίους μήνες αυξημένες περιπτώσεις χρήσης ευπαθει- ών ως φορέα για την παράδοση ransomware και άλλων κακόβουλων λογισμικών, με ιδιαίτερη έμφαση στις συσκευές δικτύωσης. Αυτό σηματο- δοτεί μια μετατόπιση προς τη χρήση εφαρμογών Διαχειριζόμενης Μεταφοράς Αρχείων (Managed File Transfer - MFT). Ακόμα, όλες οι ενδείξεις για το 3ο τρίμηνο και τους μήνες δείχνουν ότι οι φορείς εκμετάλλευσης ransomware θα συνε- χίσουν να χρησιμοποιούν ως «όπλα» ευπάθειες και να εκμεταλλεύονται τις zero-days για να παραδώσουν ransomware που θα θέσουν σε κίνδυνο τους στό- χους τους. Ενώ οι zero-day ευπάθειες είναι, εξ ορισμού, άγνωστες μέχρι να αξιοποιηθούν, οι οργανισμοί μπορούν να λάβουν μέτρα για να δι- ασφαλίσουν ότι η ευπάθειά τους σε αυτές ελα- χιστοποιείται. Οι οργανισμοί πρέπει επίσης να διασφαλίζουν ότι το λογισμικό και τα προϊόντα που χρησιμοποιούν είναι ενημερωμένα και να εφαρμόζουν στρατηγικές ευαισθητοποίησης στον κυβερνοχώρο για να διασφαλίζουν ότι τα δυνητικά εκμεταλλεύσιμα τρωτά σημεία εντοπίζονται και δια- σφαλίζονται κατά προτεραιότητα. Αύξηση στις επιθέσεις ransomware