سوء استفاده بدافزار DarkGate از فایل Samba

محققان امنیت سایبری، حملاتی را در ارتباط با بدافزار DarkGate شناسایی کرده‌اند که از اشتراک‌گذاری فایل‌های Samba برای آغاز فرآیند نفوذ استفاده می‌کنند.

این فعالیت در ماه‌های مارس و آوریل 2024 رخ داده است و زنجیره‌های‌ نفوذ از سرورهایی استفاده کرده‌اند که اشتراک‌های فایل Samba را در معرض دسترس عموم قرار میدهند که در واقع میزبان فایل‌های اسکریپت ویژوال بیسیک (VBS) و جاوا اسکریپت می‌باشند. اهداف این حمله شامل آمریکای شمالی، اروپا و بخش‌هایی از آسیا است.

این حملات در مدت بسیار کوتاهی رخ دادند که نشان می‌دهد چگونه هکرها می‌توانند خلاقانه از ابزارها و سرویس های قانونی برای توزیع بدافزار خود سوء استفاده کنند.

بدافزار DarkGate برای اولین بار در سال 2018 توسط enSilo  شناسایی شد و به ثبت رسید. DarkGate اکنون در قالب بدافزار به عنوان یک سرویس (MaaS[1]) ارائه می‌گردد و توسط تعدادی مشتریِ به شدت کنترل شده استفاده می‌شود.

بدافزار DarkGate دارای قابلیت‌هایی برای کنترل میزبان‌های هک شده از راه دور، اجرای کد، استخراج ارز دیجیتال، راه اندازی shellهای معکوس و استقرار پیلودهای بیشتر است.

حملات مربوط به این بدافزار به‌ ویژه در ماه‌های اخیر پس از حذف زیرساخت‌های QakBot در آگوست 2023 افزایش یافته است.

حملات اخیر بدافزار DarkGate توسط واحد 42 شبکه های Palo Alto مستند شده است. این حمله با استفاده از فایل‌های اگسل مایکروسافت (xlsx.) آغاز می‌شود. فایل اگسل پس از گشوده شدن، قربانی را ترغیب می‌کند تا بر روی دکمه Open  تعبیه ‌شده کلیک کند.

[1] malware as a service