欧洲的Windows用户最近成为复杂恶意软件活动的目标，该活动为攻击者提供了多种攻击手段，包括加密货币挖矿，凭证窃取，勒索软件和远程访问接管。

据报道，该恶意软件被其开发者命名为DarkGate，它通过伪装成流行娱乐产品（如西班牙电影Campeones和美剧《行尸走肉》）的Torrent文件进行传播。这些文件被下载后，将在下载设备上执行恶意VBscripts。 设备被感染后，第一个恶意软件与C2服务器的交互将启动挖矿进程，从那时起，DarkGate有可能进行进一步的攻击。

终端安全平台enSilo于11月13日发表文章称，该活动的目标用户主要集中在西班牙和法国。enSilo研究员Adi Zeligson于2017年12月27日发现了该威胁，他认为，DarkGate似乎与之前已知的名为Golroted的密码窃取工具密切相关。

据enSilo报道，DarkGate的密码窃取组件使用NirSoft工具窃取用户凭证、浏览器cookie、浏览器历史记录和Skype聊天记录。但研究人员发现，攻击者似乎更青睐于加密货币凭证。

除了多功能性之外，还值得注意的是，DarkGate实现了进程镂空（Process Hollowing）行为——将合法进程加载到系统上以便将其用作隐藏恶意代码的“掩护”。为了实现这一目的，DarkGate还滥用了vbc.exe或regasm.exe进程。

恶意软件还依赖于UAC（用户帐户控制）绕过功能来提升其权限。为此，它采用了两个不同的技巧，利用了定时任务DiskCleanup和合法进程文件eventvwr.exe（即Windows事件查看器Snapin Launcher）。

DarkGate的另一个显著特点是其人性化的“反应式”C2基础设施由真人构成。研究人员报道，这些操作人员“根据收到加密钱包的新感染通知采取行动”。 此外，“当操作人员检测到任何有趣的活动时，他们继续在“被感染的”机器上安装自定义远程访问工具以进行手动操作。”

为了隐藏这些特殊的C2基础设施，DarkGate对其恶意服务器（包括Akamai CDN或AWS）进行了伪装。DarkGate还采取措施通过监视沙箱或虚拟环境中常见的情况以及检查特定AV解决方案的存在来避免检测。

enSilo研究人员认为，攻击者的目标是最大限度地获取货币收益，因此倾向于将矛头指向有价值的目标，例如拥有重要计算资源的组织。

原文链接：https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/