DarkGate: So gefährlich ist die Malware-Bedrohung

Anish Bogati  |
DarkGate

DarkGate: So gefährlich ist die Malware-Bedrohung

In der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft haben Strafverfolgungsbehörden positive Fortschritte bei der Aufdeckung von Malware-Entwicklern, Bedrohungsakteuren und Forenmanagern verzeichnet. Ob das auch für DarkGate gilt?

Gleichzeitig haben sie vermehrt die Kontrolle über Command-and-Control-Server übernommen, was zur Unterbrechung von Malware-Verbreitungsnetzen führte. In diesem dynamischen Umfeld ist das Auftauchen neuer Akteure sowie die Anpassung bestehender Akteure kein Zufall.

Ein jüngstes Beispiel für diese Entwicklung ist die Erscheinung der wandlungsfähigen Malware, die eine Namensänderung von Bedrohungsakteuren und Modifizierung von Malware-Familien aufzeigt. Nach der Zerschlagung der Qbot-Infrastruktur hat die Verbreitung von DarkGate stark zugenommen, was die anhaltende Evolution von Cyberbedrohungen verdeutlicht.

DarkGate – welche Ähnlichkeiten gibt es?

Cofense hat Ähnlichkeiten zwischen DarkGate und PikaBot-Phishing-Kampagnen festgestellt, die auf Qakbot-Techniken zurückgehen. Dies weist auf mögliche unbekannte Verbindungen oder Anpassungen bestehender Techniken hin und unterstreicht die Komplexität moderner Cyberbedrohungen. DarkGate, auch bekannt als MehCrypter, fungiert sowohl als Loader-Malware als auch als RAT und kann daher verschiedene bösartige Aktionen ausführen. Darunter den Diebstahl sensibler Daten und den Einsatz von Kryptowährungs-Minern. Die Malware wird hauptsächlich durch Phishing verbreitet, oft über Themen im Zusammenhang mit Browser-Updates sowie durch Malvertising und SEO Poisoning. Eine besondere Eigenschaft ist die Verwendung von Autolt, einer Skriptsprache zur Automatisierung von Windows-GUI und allgemeinen Skriptaufgaben. Diese Funktion ermöglicht es den Benutzern, Skripte zu erstellen, die Aufgaben wie Tastendrücke und Mausbewegungen automatisieren, was besonders für die Installation von Software und Systemverwaltung nützlich ist.

Problem: Gefälschte Browser-Update-Themen

Die Malware wird auch über gefälschte Browser-Update-Themen verbreitet. Dafür werden Phishing-URLs und Traffic Distribution Systeme genutzt, um die bösartige Nutzlast herunterzuladen. Die Verbreitung der Malware wurde auch über Microsoft Teams beobachtet, wo Angreifer sich als CEO eines Unternehmens ausgaben und Teams-Einladungen als Teil ihrer Täuschungstaktik versendeten. Die Verwendung von Endpunkt-Schutzsystemen zur Erkennung und Blockierung von Malware ist entscheidend, wie das Beispiel DarkGate zeigt, das seine Aktionen bei Erkennung bestimmter Antivirenprodukte beendet.

Autor

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Marktplatz IT-Sicherheit Skip to content