Cyber-Kriminelle verbreiten derzeit in einer neuen Welle über E-Mails, Skype und Microsoft Teams die Malware namens DarkGate, ein vielseitiges Malware-Toolset, das seit mindestens 2018 im Umlauf ist, deren neueste Variante allerdings erst im Juli 2023 auftauchte. Bei DarkGate handelt es sich um eine Windows-basierte Malware mit einem breiten Spektrum an Fähigkeiten – der Diebstahl von Zugangsdaten und der Fernzugriff auf die Endgeräte der Opfer steht dabei an erster Stelle. Für die Verbreitung der Malware werden von den Kriminellen bei ihren Phishing-Versuchen sowohl E-Mails als auch, seit August 2023, Teams-Nachrichten von extern abgesetzt.
Der in Helsinki ansässige Sicherheitsanbieter WithSecure hat nun Erkenntnisse zu dem Loader veröffentlicht, die aktuelle Malware-Attacken in Großbritannien, den USA und Indien mit Akteuren aus Vietnam in Verbindung bringen. Laut der Experten des finnischen Anbieters weisen zahlreiche Indikatoren wie Köderdateien und -themen, das Targeting und insbesondere die Metadaten darauf hin, dass es sich um die gleiche Gruppe handelt, die für den Datendiebstahl im großen Stil bisher den Infostealer DuckTail verwendet hat. „Die DarkGate-Angriffe weisen eindeutige Übereinstimmungen zu Angriffen mit Infostealern und Malware wie DuckTail auf“, so Stephen Robinson, Senior Threat Intelligence Analyst bei WithSecure. Die finnischen Experten, die DuckTail schon seit Jahren verfolgen, sind sich sicher, dass etwa hinter der großangelegten Kampagne, die auf die Metas Business-Konten abzielte, ein und derselbe Akteur steht.
Derzeit als Malware-as-a-Service angeboten, wird der Remote-Access-Trojaner (RAT) DarkGate bereits für Informationsdiebstahl, Kryptojacking und Ransomware-Kampagnen verwendet. Der finnische Sicherheitsanbieter WithSecure war auf Infektionsversuche bei seinen Kunden aufmerksam geworden, bei denen die in den Phishing-Nachrichten verwendeten Köder und bösartigen Dateien spezifische Auffälligkeiten aufwiesen. So konnten die Sicherheitsforscher Metadaten der LNK-Datei, von MSI-Dateien sowie von mit dem Grafikdesign-Tool Canva erstellten PDFs identifizieren. Auch wenn inzwischen im Darknet ein regelrechter Cybercrime-Marktplatz mit einem wachsenden Angebot an Services für Bedrohungsakteure entstanden ist, der die Zuordnung zunehmend schwierig macht, brachte die spezifische Kombination der Indikatoren die WithSecure-Experten auf die Spur der ihnen bereits bekannten kriminellen Akteure in Fernost.
