Исследователи Jet CSIRT выпустили подробный анализ вредоносного ПО DarkGate, которое злоумышленники активно распространяют с конца июля.
Пользователям приходили подозрительные письма с архивом, где находился VBS-скрипт.
DarkGate обладает расширенным функционалом: с его помощью злоумышленник может украсть чувствительную информацию (файлы cookie, пароли, токены дискорда, пароли криптокошельков), добывать криптовалюту посредством встроенного майнера, получать удаленный доступ к зараженному узлу, запускать кейлогеры, снимать скриншоты с машины жертвы, а также инжектировать любую полезную нагрузку. Распространение вредоноса происходит через фишинговые письма, внутри которых находится архив с VBS-скриптом.
Мы рекомендуем проводить комплекс мероприятий, таких как повышение осведомленности сотрудников с целью противодействия фишинговым атакам, настройка корректной конфигурации доменных политик (в частности, запрет на прямое исполнение VBS-, batch-, PowerShell-скриптов), а также реализация непрерывного мониторинга.