enSilo บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเตือนว่าพบแคมเปญมัลแวร์ที่เน้นการโขมยเงินดิจิทัลแต่เพรียบพร้อมด้วยฟีเจอร์อีกหลากหลาย เช่น การเชื่อมต่อรอคำสั่งจากเซิร์ฟเวอร์ ความสามารถขโมยรหัสผ่าน รวมถึงหลบเลี่ยงการตรวจจับของเครื่องมือป้องกัน โดยตั้งชื่อตามผู้พัฒนาว่า ‘DarkGate’
มัลแวร์ถูกรายงานว่าได้ใช้ช่องทางไฟล์ Torrent ที่ได้รับความนิยมเพื่อกระจายไปหาเหยื่อ เช่น หนัง Walking Dead แต่แท้ที่จริงแล้วไฟล์ที่เหยื่อได้รับมานั้นจะไปทำการ Execute สคิร์ปต์ VB อันตราย โดยมัลแวร์ตัวนี้มีการใช้เทคนิคซับซ้อนหลายคุณสมบัติดังนี้
1.ทำงานเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2C) ทำให้รับคำสั่งได้จากทางไกลได้
2.เซิร์ฟเวอร์สั่งการตั้งอยู่ในบริการที่ปกติทั่วไปคือ Akamai และ AWS
3.คอยตรวจจับเงื่อนไขที่มักพบใน Sandbox หรือสภาพแวดล้อมจำลอง
4.มีเครื่องมือที่ชื่อ NirSoft เพื่อใช้ขโมย Credentials, Cookie ของ Browser, ประวัติการใช้งาน Browser และแชทของ Skype
5.ใช้เทคนิค Process Hollowing เพื่อหลบเลี่ยงการจรวจจับโปรเซสอันตราย (สร้างโปรเซสปกติขึ้นมาในสถานะ Suspend ก่อนแล้วค่อยแทนที่หน่วยความจำของโปรเซสด้วยโค้ดอีกชุดหนึ่งเพื่อไปรันแทน)
6.ใช้เครื่องมือ Recovery ป้องกันไม่ให้ไฟล์สำคัญที่ต้องใช้ในการปฏิบัติการถูกลบ
7.ใช้เทคนิคลัดผ่าน User Account Control (UAC) เพื่อยกระดับสิทธิ์ให้สามารถดาวน์โหลดและ Execute ส่วน Payload อื่นของมัลแวร์ได้
อย่างไรก็ตามขณะนี้เหยื่อคือผู้ใช้งาน Windows ในทวีปยุโรปนั่นเองและจากการวิเคราะห์ของนักวิจัยเชื่อว่าผู้โจมตีมีแรงจูงใจในด้านของการขโมยเงินดิจิทัลและใช้โจมตีเป้าหมายอย่างเฉพาะเจาะจงได้ ขณะเดียวกันก็คาดว่ามัลแวร์จะยังมีการพัฒนาเพิ่มเติมขึ้นในอนาคต
ที่มา : https://www.zdnet.com/article/this-stealthy-malware-circumvents-antivirus-software-to-steal-your-cryptocurrency/ และ https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/