#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Secureworks CTU заметили, что ботнет Smoke Loader сбрасывает пользовательский исполняемый файл для сканирования Wi-Fi под названием Whiffy Recon, который использует близлежащие точки доступа Wi-Fi для триангуляции положения зараженных систем и отправляет данные на сервер C2.-----

Исследователи Secureworks Counter Threat Unit (CTU) обнаружили, что 8 августа 2023 года ботнет Smoke Loader распространил на зараженные системы специальный исполняемый файл для сканирования Wi-Fi. Вредоносная программа получила название Whiffy Recon и использует близлежащие точки доступа Wi-Fi для триангуляции местоположения зараженных систем с помощью геолокационного API Google.

Whiffy Recon проверяет наличие службы WLANSVC на скомпрометированной системе. Эта служба указывает на наличие беспроводных возможностей в системах Windows. Если имя службы не существует, сканер завершает работу. Вредоносная программа сохраняется в системе, создавая ярлык wlan.lnk в папке Startup пользователя.

Основной код Whiffy Recon работает в виде двух циклов. В первом цикле проверяется наличие файла с именем %APPDATA%\wlan\str-12.bin. Если такой файл существует и содержит корректные параметры, то Whiffy Recon переходит во второй цикл для выполнения сканирования Wi-Fi. Если файл str-12.bin не существует, вредоносная программа регистрирует скомпрометированную систему на сервере C2, отправляя полезную нагрузку в формате JSON в запросе HTTPS POST. В заголовках HTTP содержится поле Authorization, содержащее жестко закодированный UUID. Тело запроса содержит три параметра - случайно сгенерированный UUID для botId, идентифицирующий систему, тип, установленный в "COMPUTER", и номер версии, равный 1. В случае успешной регистрации сервер C2 отвечает JSON-сообщением об успехе, включающим поле "secret", содержащее UUID. Этот секретный UUID затем используется вместо жестко закодированного UUID авторизации в последующих POST-запросах.

Второй цикл программы Whiffy Recon сканирует точки доступа Wi-Fi через Windows WLAN API. Этот цикл выполняется каждые 60 секунд. Результаты сканирования отображаются в JSON-структуру и отправляются в Google Geolocation API через HTTPS POST-запрос. Затем эти данные отправляются в виде POST-запроса на сервер C2 с использованием секретного UUID авторизации и URI /bots/ UUID /scanned.

#ParsedReport #CompletenessLow
25-08-2023

Suspected APT37 New Attack Weapon Fakecheck Analysis Report

https://paper.seebug.org/3012

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft)
Kimsuky

Threats:
Fakecheck

Victims:
Public organizations and private enterprises in south korea, japan, vietnam, middle east, and other regions

Industry:
Chemical, Financial, Healthcare, Aerospace

Geo:
Vietnam, Korea, Japan, Chinese, Korean

ChatGPT TTPs:
do not use without manual check
T1550.001

IOCs:
Path: 2
File: 3
Hash: 7

Soft:
chrome

Algorithms:
zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Fakecheck - троянская программа удаленного доступа (RAT), предположительно связанная с государственной организацией APT37. Он использует тактику обмана для атак на браузеры Chrome и Edge и собирает информацию о дисках и файлах из указанного каталога. Несмотря на то, что исследователи безопасности приписывают атаку APT37, прямых доказательств, связывающих ее с тактикой организации, нет.
-----

APT37 - это предполагаемая государственная организация, известная также под названиями ScarCruft, Reaper, RedEye и Ricochet Chollima, которая ведет свою деятельность с 2012 года. В основном она атакует государственные организации и частные предприятия в Южной Корее, но в последнее время расширила сферу своей деятельности, включив в нее химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую отрасли в Японии, Вьетнаме, на Ближнем Востоке и в других регионах. Недавно сотрудники отдела перспективной разведки угроз Knownsec 404 в ходе проведения рутинной аналитической работы обнаружили вредоносный CHM-образец, содержащий вредоносные скрипты. Этот новый троянец получил название Fakecheck.

Fakecheck - это троянец удаленного доступа (RAT), отвечающий за выполнение удаленного управления. Он использует обманные приемы, например, выводит на экран окно с предложением переустановить .net 3.5. и нацеливается на пользовательские данные браузеров Chrome и Edge, включая настройки плагинов, историю просмотров, закладки и сохраненные пароли. Fakecheck собирает дисковую и файловую информацию из указанной директории, записывает ее в файл и загружает на командно-контрольный (C&C) сервер. Затем он получает данные с C&C-сервера, анализирует их и выполняет соответствующие команды.

Используемая злоумышленниками CHM-приманка ориентирована на темы, связанные в основном со страхованием, ценными бумагами и финансами, а также со счетами за услуги связи. В процессе атрибуции некоторые исследователи безопасности приписали атаку группе APT37. Однако на основании данных, которыми в настоящее время располагает группа перспективной разведки угроз KnownSec 404, прямых доказательств, связывающих ее с ТТП, используемыми APT37, нет. Метод использования CHM для загрузки вредоносного кода может применяться различными организациями, включая Kimsuky и APT37. Поэтому его нельзя напрямую отнести к известной организации. Для выявления более ценных разведывательных данных будет проводиться постоянное отслеживание аналогичных инцидентов.

#ParsedReport #CompletenessMedium
25-08-2023

Threat Actor Employs PowerShell-Backed Steganography in Recent Spam Campaigns. Executive Summary

https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns

Report completeness: Medium

Threats:
Steganography_technique
Agent_tesla
Limerat
Remcos_rat
Process_hollowing_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Education, Financial

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 6
Url: 20
Path: 1
Hash: 28

Soft:
telegram

Algorithms:
zip, exhibit, base64, sha256

Functions:
DownloadString

YARA: Found

Links:
https://github.com/dzzie/VS\_LIBEMU

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрозы адаптировали тактику использования вредоносного содержимого PowerShell для своей вредоносной деятельности, применяя спам-рассылки для доставки вредоносных программ RAT, таких как Remcos, AgentTesla и LimeRAT. Для защиты от таких атак необходимы надежные меры кибербезопасности, обучение пользователей и стратегии проактивной защиты.
-----

Угрожающие лица адаптировали свою тактику к использованию вредоносного содержимого PowerShell для своей вредоносной деятельности. Такой подход позволяет им оставаться незаметными, обходить традиционные средства защиты и использовать существующие инструменты на взломанных системах. Сценарии и универсальность PowerShell делают его идеальным инструментом для злоумышленников, которым необходима гибкость и настройка. Недавно компания Cyble Research & Intelligence Labs (CRIL) обнаружила новую цепочку атак для распространения различных троянских программ удаленного доступа (RAT), таких как LimeRAT, AgentTesla и Remcos.

Первичное заражение начинается с рассылки спама, содержащего вложение Excel, которое использует уязвимость в редакторе уравнений для загрузки полезной нагрузки в виде VB-сценария. После его выполнения с помощью техники стеганографии извлекается JPG-изображение со скрытой полезной нагрузкой .NET в base64-кодировке. После декодирования данных получается и загружается сборка .NET, в которой в качестве параметра указан URL конечной полезной нагрузки. В результате происходит загрузка и внедрение полезной нагрузки вредоносной программы RAT в легитимный процесс системы-жертвы.

Вредоносные письма содержат имена файлов, такие как aU2WuhBz0.j32a9, и используют уязвимость Equation Editor (CVE-2017-11882) для инициирования загрузки последующей полезной нагрузки в цепочке атак. При нажатии опции Enable editing происходит разбор XML-данных из файла sheet1.xml.rels. После этого EQNEDT32.EXE используется для инициирования выполнения вредоносного шелл-кода, который загружает файл VB-сценария с определенного URL-адреса. Этот скрипт извлекает JPG-изображение со скрытой полезной нагрузкой .NET в base64-кодировке. После декодирования этих данных в RegAsm.exe с помощью техники "впаивания" процесса внедряются варианты вредоносного ПО Remcos, AgentTesla и LimeRAT.

Remcos относится к типу RAT и обладает целым рядом возможностей, включая удаленный контроль над компьютерами жертв, кражу данных, кейлоггинг, захват экрана, манипулирование файлами и возможность выполнения команд. Он часто используется ТА для несанкционированного доступа, утечки данных и других вредоносных действий. Agent Tesla функционирует как RAT и средство хищения данных на базе .NET и обычно используется для защиты начального доступа. Он проникает на компьютеры жертв, записывая нажатия клавиш, делая скриншоты и собирая конфиденциальную информацию. С другой стороны, LimeRAT - это RAT, ориентированная на несанкционированный контроль над взломанными системами. Его вредоносные действия включают шифрование файлов и принуждение жертв к выплате выкупа, майнинг криптовалюты, похищение конфиденциальной информации, распространение на другие устройства и организацию распределенных атак типа "отказ в обслуживании" (DDoS).

Спам по электронной почте предпочитают ТП из-за его доступности, низкой стоимости и использования человеческого поведения. Для защиты от таких атак необходимы надежные меры кибербезопасности, обучение пользователей и стратегии проактивной защиты.

#ParsedReport #CompletenessLow
25-08-2023

Lockbit leak, research opportunities on tools leaked from TAs

https://securelist.com/lockbit-ransomware-builder-analysis/110370

Report completeness: Low

Actors/Campaigns:
Bl00dy

Threats:
Lockbit
Trojan.win32.inject.aokvy

Industry:
Financial

Geo:
Francesco

ChatGPT TTPs:
do not use without manual check
T1087, T1087, T1119, T1572, T1569, T1570, T1027, T1070, T1489, T1490, have more...

IOCs:
File: 2

Soft:
psexec

Algorithms:
xor, base64, ror13

Functions:
GetLucky

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lockbit 3 - широко распространенный штамм вымогательского ПО, имеющий партнерскую программу и программу вознаграждения за ошибки. Компания GERT проанализировала конструктор для Lockbit 3 и обнаружила, что он используется не только группой разработчиков Lockbit, но и другими лицами.
-----

Lockbit - один из самых распространенных штаммов ransomware, который имеет партнерскую программу для тех, кто участвует в его распространении. Кроме того, существует программа вознаграждения исследователей безопасности, которые находят уязвимости, позволяющие расшифровывать файлы без уплаты выкупа. Lockbit v3, также известный как Lockbit Black, был впервые обнаружен в июне 2022 года. Он способен использовать зашифрованные исполняемые файлы со случайно сгенерированными паролями. В сентябре 2022 года произошла утечка билдера для Lockbit 3, позволяющего любому желающему создать собственную версию этой программы-рансома.

В ходе инцидента, проведенного компанией GERT, был обнаружен вариант Lockbit 3, используемый для шифрования критически важных систем. При вторжении использовалась тактика, аналогичная тем, что применяются восемью основными группами ransomware для разведки, сбора информации, сбора и развертывания. Процедура требования выкупа отличалась от той, которую обычно использует группа Lockbit. В записке с требованием выкупа указывалась сумма, которую необходимо заплатить за получение ключей, и направлялись сообщения в службу Tox и по электронной почте.

Команда GERT компании "Касперский" решила проанализировать сборщик Lockbit 3, чтобы понять методику его построения и выявить возможности дополнительного анализа. В ходе анализа были выявлены параметры, принудительно заложенные в вредоносную программу, такие как убийство сервисов, процессов, защитника и журналов, а также опции самоуничтожения и отсутствия выключения системы. 90% образцов настраивают развертывание сети с помощью PSEXEC или GPO и редко используют C2-коммуникации. 77 образцов не содержат ссылок на Lockbit, что позволяет предположить, что сборщик используется не оригинальной группой Lockbit.

#technique

Bypassing Bitlocker using a cheap logic analyzer on a Lenovo laptop

https://www.errno.fr/BypassingBitlocker

#technique

Abusing mhyprotect to kill AVs / EDRs / XDRs / Protected Processes.

https://github.com/zer0condition/mhydeath

#ParsedReport #CompletenessLow
28-08-2023

The Fraud Gala: Exploring a Recent BEC Campaign

https://blog.cluster25.duskrise.com/2023/08/25/the-fraud-gala-bec

Report completeness: Low

Actors/Campaigns:
Bec (motivation: cyber_criminal)

Victims:
Companies in the us, canada, and italy in the technology, financial, energy, and logistics sectors

Industry:
Foodtech, Energy, Financial, Logistic

Geo:
Canada, Italy

TTPs:
Tactics: 3
Technics: 5

IOCs:
Email: 4

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Мошенничество с использованием BEC представляет собой серьезную угрозу для организаций любого размера, и организациям следует принять меры по защите от этого мошенничества.
-----

Мошенничества, связанные с компрометацией деловой электронной почты (BEC), представляют собой серьезную угрозу для организаций любого масштаба. Злоумышленники выдают себя за ключевых фигур в организации, таких как руководители или доверенные партнеры, чтобы обманом заставить сотрудников выполнить действия, выгодные злоумышленникам. К распространенным видам BEC-мошенничества относятся мошенничество с использованием имени генерального директора, когда мошенники выдают себя за высокопоставленных руководителей, требуя срочного перевода средств, и мошенничество с использованием фальшивых счетов, когда сотрудники, ответственные за обработку платежей, перенаправляют их на поддельные счета.

Недавно компания Cluster25 наблюдала BEC-кампанию, в которой в качестве приманки использовалось пожертвование в некоммерческий фонд, а в качестве CC указывался адрес электронной почты генерального директора. Атака заключалась в имитации разговора с генеральным директором компании, в ходе которого он соглашался на просьбу о пожертвовании. Мошенническое письмо содержало два PDF-файла: один с налоговой информацией, другой - со счетом-фактурой на сумму пожертвования и банковскими реквизитами.

Атаке подверглись компании из США, Канады и Италии, работающие в технологическом, финансовом, энергетическом и логистическом секторах. Все темы электронных писем касались торжественного мероприятия и возможности спонсорства. Злоумышленник использовал банковский счет, зарегистрированный на PNC Bank в Питтсбурге.

После выявления атаки BEC важно принять меры по снижению ущерба. Организации должны обеспечить осведомленность сотрудников о риске атак BEC, а также наличие соответствующих средств контроля и процедур для выявления и пресечения подозрительной активности. Например, сотрудники должны быть обучены распознавать признаки атаки BEC, такие как необычные запросы на перевод средств или изменения в процессах оплаты.

Наконец, организациям следует убедиться в наличии надежных планов реагирования на инциденты, позволяющих быстро обнаружить и отреагировать на любую BEC-атаку. Это должно включать наличие специальной группы, которая может расследовать любые подозрительные действия, а также возможность связаться с правоохранительными и другими соответствующими органами в случае необходимости.

Осознавая угрозу BEC-атак и принимая необходимые меры по защите своей организации, предприятия могут значительно снизить риски, связанные с этими мошенничествами.

#ParsedReport #CompletenessLow
28-08-2023

Rogue Scripts Are Exploiting OTP Verification APIs To Send Heaps of OTP SMSes, Hold The Potential Of Triggering Service Disruptions.

https://www.cloudsek.com/threatintelligence/rogue-scripts-are-exploiting-otp-verification-apis-to-send-heaps-of-otp-smses-hold-the-potential-of-triggering-service-disruptions

Report completeness: Low

Threats:
Sms_bomber

Victims:
Indian companies and their apis

Industry:
Telco, Financial

Geo:
Indonesia, Indian, India, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1188, T1097, T1498, T1568

Links:
https://github.com/TheSpeedX/TBomb
https://github.com/iMro0t/bomb3r
https://github.com/LimerBoy/Impulse/blob/master/tools/SMS/services.json
https://github.com/Priyans0830m/DDOS-BOMBER/tree/main
https://github.com/bhattsameer/Bombers/tree/master
https://github.com/ebankoff/Beast\_Bomber
https://github.com/anubhavanonymous/XLR8\_BOMBER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа XVigil компании CloudSEK помогает организациям выявлять вредоносную активность, связанную с SMS-бомберами, например, неконтролируемую рассылку SMS, которая может привести к перебоям в работе телекоммуникационных сервисов, захвату учетных записей, а также атаки на усталость или истощение MFA. Компаниям также следует использовать ограничение скорости и защиту CAPTCHA, а также информировать клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками.
-----

Платформа XVigil компании CloudSEK, работающая на основе искусственного интеллекта, обнаружила на GitHub репозитории индийских компаний и их API, которые позволяют неограниченно использовать возможности OTP SMS. Это представляет опасность, поскольку позволяет осуществлять неконтролируемую SMS-рассылку без ограничений по скорости или CAPTCHA, что может быть использовано автоматизированными инструментами. Такое злоупотребление может привести к более высоким, чем ожидалось, затратам на API, юридическим последствиям и негативному влиянию на общественный имидж компании.

Угрожающие лица разработали автоматизированное программное обеспечение, которое использует конечные точки генерации OTP для отправки большого количества сообщений OTP. Это может привести к целенаправленному отключению телекоммуникационных услуг, а также к сценариям захвата учетных записей. Кроме того, это может привести к атакам типа "усталость" или "истощение" MFA.

Пользователь SMS-бомбардировщика указывает целевой телефонный номер или список телефонных номеров, на которые он хочет рассылать сообщения. Эта информация может быть введена вручную или импортирована из файла. Простой поисковый запрос в Google даст вам результаты по SMS-бомбардировщикам.

Платформа XVigil компании CloudSEK помогает организациям обнаружить подобные вредоносные действия, чтобы предотвратить злоупотребление API и защитить данные своих клиентов. Кроме того, компаниям следует использовать ограничение скорости и защиту CAPTCHA на конечных точках API, а также следить за необычной активностью. Кроме того, компании должны информировать своих клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками, и о том, как их избежать.

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #CompletenessLow
28-08-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Report completeness: Low

Threats:
Maldoc_in_pdf_technique

ChatGPT TTPs:
do not use without manual check
T1220.001, T1064, T1059.003

IOCs:
Url: 2
Hash: 3

Languages:
javascript

YARA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py
https://github.com/decalage2/oletools/wiki/olevba

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MalDoc in PDF - это новая техника, используемая в атаке, которая обходит обнаружение путем встраивания вредоносного файла Word в PDF-файл, однако инструмент анализа OLEVBA все же может быть использован для противодействия этой технике.
-----

MalDoc in PDF - это новая техника, используемая в атаке, произошедшей в июле, которая обходит обнаружение путем встраивания вредоносного файла Word в файл PDF. Эта техника называется MalDoc in PDF и позволяет открыть вредоносный файл Word в Word, несмотря на то, что он имеет магические числа и файловую структуру PDF. Атака использует расширение файла .doc, поэтому, когда файл настроен на открытие в Word в настройках Windows, он открывается как файл Word.

При анализе файла, созданного MalDoc в формате PDF, скорее всего, средства анализа PDF, такие как pdfid, не смогут обнаружить его вредоносные части. Это связано с тем, что вредоносное поведение проявляется только при открытии файла в Word, но не при его открытии в программах просмотра PDF. Кроме того, поскольку файл распознается как PDF-файл, существующее антивирусное программное обеспечение может его не обнаружить.

Для борьбы с этой техникой все же можно использовать OLEVBA, инструмент анализа вредоносных файлов Word. OLEVBA выводит встроенные макросы, что позволяет проверить вредоносную часть файла по результатам анализа, проведенного инструментом. Однако MalDoc in PDF не обходит настройку, отключающую автоисполнение в Word макросов. Поэтому при проведении автоматизированного анализа вредоносного ПО с использованием тех или иных инструментов, "песочницы" и т.д. необходимо ориентироваться на результаты обнаружения.

#ParsedReport #CompletenessHigh
28-08-2023

Telekom Security. Shining some light on the DarkGate loader

https://github.security.telekom.com/2023/08/darkgate-loader.html

Report completeness: High

Threats:
Darkgate
Emotet
Junk_code_technique
Process_hollowing_technique
Rastafareye_actor

Industry:
Telco

Geo:
Spanish, Spain, Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 1
Email: 1
Hash: 1

Soft:
curl, discord, telegram

Algorithms:
sha256, base64, xor

Win API:
VirtualProtect

Languages:
visual_basic, delphi, autoit

Platforms:
x64

YARA: Found

Links:
https://github.com/fossabot/myAut2Exe
https://github.com/huettenhain/dhrake
https://github.com/PonyPC/myaut\_contrib
https://github.com/telekom-security/malware\_analysis/blob/main/darkgate/extractor.py
https://github.com/crypto2011/IDR

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 2, code: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DarkGate - вредоносная программа, разработанная актером RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Она содержит методы уклонения, антианалитические приемы и более 100 команд. Он запрограммирован и скомпилирован с использованием Delphi и в настоящее время доступен для аренды ограниченному числу аффилированных лиц.
-----

Недавно специалисты Telekom Security CTI обнаружили вредоносную кампанию, распространяемую через фишинговые письма и ложно приписываемую вредоносной программе Emotet. После дальнейшего анализа выяснилось, что на самом деле это DarkGate - вредоносная программа, разработанная человеком под ником RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Вредоносная программа имеет встроенные методы уклонения, конфигурацию вредоносного кода и различные функции. В настоящее время она доступна для аренды ограниченному числу аффилированных лиц и, вероятно, будет представлять постоянную угрозу в ближайшем будущем.

Вредоносная полезная нагрузка поставляется в виде инсталляторов MSI или скриптов Visual Basic, причем последние содержат обфусцированный код, вызывающий двоичный файл curl для загрузки исполняемого файла AutoIt и файла скрипта с контролируемого злоумышленником сервера. Единственной целью скрипта является выполнение шелл-кода, содержащегося в виде шестнадцатеричной строки, в которую внедряется PE-файл в виде стековых строк. PE-файл зашифрован однобайтовым XOR-ключом и может быть расшифрован с помощью нестандартной алфавитной таблицы.

DarkGate содержит несколько механизмов уклонения от защиты и приемов антианализа, таких как запись своей копии на диск, создание ключа запуска в реестре для сохранения, поиск известных антивирусных продуктов, маскировка своего присутствия и внедрение в легитимные процессы Windows. Кроме того, он способен похищать пароли, cookies и другие конфиденциальные данные из системы жертвы, а также собирать произвольные файлы по запросу через канал C2.

Вредоносная программа содержит главный цикл C2, который опрашивает сервер C2 на предмет новых команд, выполняет их и отсылает результаты. Существует более 100 различных команд, среди которых сбор информации, самоуправление, самообновление, кража, криптомайнер, RAT и управление файлами. Разработчик предлагает различные ценовые модели для аренды вредоносной программы и ограничивает доступ не более чем 10 аффилированными лицами (слотами), чтобы сохранить конфиденциальность проекта.

Для выявления различных кампаний или филиалов исследователи могут отслеживать определенные комбинации конфигурационных флагов. Вредоносная программа запрограммирована и скомпилирована на Delphi и использует для извлечения конфиденциальных данных несколько легитимных свободно распространяемых инструментов, опубликованных компанией Nirsoft. Разработчик вложил в проект более 20 тыс. часов с 2017 года и владеет английским и испанским языками.