Вредонос DarkGate распространяется через скомпрометированные аккаунты Skype

Вредоносное ПО DarkGate используется злоумышленниками для проникновения в корпоративные сети. Средством для этого выступают уже скомпрометированные аккаунты Skype. Обнаружившие атаки исследователи  Trend Micro фиксировали их с июля по октябрь текущего года и отмечают, что использование схемы продолжается.

Жертва получает скрипт загрузки VBA. Последний, в свою очередь, запускает скрипт AutoIT, который и содержит вредоносный код DarkGate. Исследователям пока неясно, как именно были скомпрометированы аккаунты Skype, с которых начинается атака. Однако они высказали предположение, что злоумышленники используют логины и пароли, представленные на теневых форумах.

В 41% случаев DarkGate использовалось для атаки на американские аккаунты, в 31% случаев жертвы находились в Азии, на Среднем Востоке и в Африке, а в 28% случаев хакеров интересовали европейские компании.

Исследователи уточняют, что существование вредоносного ПО DarkGate было впервые зафиксировано в 2017 году, однако оно некоторое время не использовалось. В мае текущего года DarkGate было предложено на русскоязычном киберкриминальном форуме eCrime, после чего в Trend Micro зафиксировали рост числа атак.