Antivirusprogramma’s zien nieuwe malware die cryptovaluta steelt niet

Abonneer je gratis op Techzine!

Beveiligingsonderzoekers van enSilo hebben een nieuwe vorm van malware gevonden die antivirusprogramma’s weet te omzeilen. De malware, gebruikt in de DarkGate-campagne, wordt gebruikt om cryptovaluta te stelen.

DarkGate wordt volgens de onderzoekers nu veel ingezet in Spanje en Frankrijk, waar het zich richt op Windows-computers via torrent-bestanden. Torrent-bestanden zijn ondanks dat ze met illegale content worden geassocieerd niet illegaal, en worden door consumenten en bedrijven gebruikt om grote bestanden te delen. In dit geval doen de geïnfecteerde bestanden zich voor als illegale versies van populaire tv-series en films, zoals The Walking Dead.

Verduistering

De malware gebruikt diverse verduisteringstechnieken om traditionele antivirusoplossingen te omzeilen. Zo is de command-and-control (C2) structuur – waarmee operators op afstand commando’s kunnen versturen en de malware gestolen data kan verzenden – verhuld in DNS records van legitieme diensten, zoals Akamai CDN en AWS. Daardoor komt het door een controle van de reputatie heen.

Daarnaast gebruikt DarkGate controles en acties gebaseerd op die van verkopers, waaronder een methode genaamd “process hollowing” om detectie door antivirussoftware te voorkomen. Deze techniek vereist dat legitieme software geladen wordt in een opgeschorte staat. Op die manier moet het zich gedragen als een container voor malafide processen, die binnen het betrouwbare programma aan de gang kunnen.

Ook voert DarkGate een aantal controles uit, om uit te zoeken of het in een sandbox terecht is gekomen. Een sandbox wordt door beveiligingsonderzoekers gebruikt om malafide software uit te pakken en te analyseren. Daarnaast scant het naar veelvoorkomende antivirusprogramma’s, zoals Avast, Bitdefender, Trend Micro en Kaspersky. Om te voorkomen dat belangrijke bestanden verwijderd worden, gebruikt het recovery-tools.

Cryptovaluta

Als DarkGate uitgevoerd wordt, zorgt het dat het systeemprivileges krijgt en een reeks aan extra malware downloadt en uitvoert. Aan de hand daarvan kan het credentials geassocieerd met de wallets voor cryptovaluta van het slachtoffer stellen, ransomware payloads uitvoeren, een remote access tunnel aanmaken zodat hackers het systeem kunnen overnemen, en mining-operaties voor cryptovaluta implementeren.