Thought Leadership
In der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft haben Strafverfolgungsbehörden positive Fortschritte bei der Aufdeckung von Malware-Entwicklern, Bedrohungsakteuren und Forenmanagern verzeichnet.
Gleichzeitig haben sie vermehrt die Kontrolle über Command-and-Control-Server übernommen, was zur Unterbrechung von Malware-Verbreitungsnetzen führte. In diesem dynamischen Umfeld ist das Auftauchen neuer Akteure sowie die Anpassung bestehender Akteure kein Zufall.
Ein jüngstes Beispiel für diese Entwicklung ist die Erscheinung der wandlungsfähigen Malware, die eine Namensänderung von Bedrohungsakteuren und Modifizierung von Malware-Familien aufzeigt. Nach der Zerschlagung der Qbot-Infrastruktur hat die Verbreitung von DarkGate stark zugenommen, was die anhaltende Evolution von Cyberbedrohungen verdeutlicht.
Cofense hat Ähnlichkeiten zwischen DarkGate und PikaBot-Phishing-Kampagnen festgestellt, die auf Qakbot-Techniken zurückgehen. Dies weist auf mögliche unbekannte Verbindungen oder Anpassungen bestehender Techniken hin und unterstreicht die Komplexität moderner Cyberbedrohungen. DarkGate, auch bekannt als MehCrypter, fungiert sowohl als Loader-Malware als auch als RAT und kann daher verschiedene bösartige Aktionen ausführen. Darunter den Diebstahl sensibler Daten und den Einsatz von Kryptowährungs-Minern.
Die Malware wird hauptsächlich durch Phishing verbreitet, oft über Themen im Zusammenhang mit Browser-Updates sowie durch Malvertising und SEO Poisoning. Eine besondere Eigenschaft ist die Verwendung von Autolt, einer Skriptsprache zur Automatisierung von Windows-GUI und allgemeinen Skriptaufgaben. Diese Funktion ermöglicht es den Benutzern, Skripte zu erstellen, die Aufgaben wie Tastendrücke und Mausbewegungen automatisieren, was besonders für die Installation von Software und Systemverwaltung nützlich ist.
Die Malware wird auch über gefälschte Browser-Update-Themen verbreitet. Dafür werden Phishing-URLs und Traffic Distribution Systeme genutzt, um die bösartige Nutzlast herunterzuladen. Die Verbreitung der Malware wurde auch über Microsoft Teams beobachtet, wo Angreifer sich als CEO eines Unternehmens ausgaben und Teams-Einladungen als Teil ihrer Täuschungstaktik versendeten. Die Verwendung von Endpunkt-Schutzsystemen zur Erkennung und Blockierung von Malware ist entscheidend, wie das Beispiel DarkGate zeigt, das seine Aktionen bei Erkennung bestimmter Antivirenprodukte beendet.
Insgesamt verdeutlichen diese Beobachtungen die fortlaufende Bedrohung durch Cyber-Akteure und die Notwendigkeit, sowohl proaktiv als auch reaktiv auf diese sich entwickelnde Bedrohungslage zu reagieren.
Weitere Informationen finden Sie hier.
