惡意軟件DarkGate利用帳密外泄的Skype登錄身份，傳播帶有VBA腳本的文件來發(fā)動攻擊

安全企業(yè)趨勢科技披露惡意軟件DarkGate最新一波的攻擊行動，黑客疑似通過地下論壇或是數(shù)據(jù)外泄事故取得Skype帳密數(shù)據(jù)，在今年的7月至9月，利用兩個組織之間的信任關(guān)系，通過上述的Skype賬號，向另一個組織的用戶發(fā)送的消息，其中是帶有VBA腳本的文件（名稱為<filename.pdfwww.skype>

一旦收到消息的用戶開文件、執(zhí)行惡意VBS，計算機先是創(chuàng)建新文件夾并復制curl.exe，接著從外部服務(wù)器下載AutoIT，并執(zhí)行.AU3的腳本，從而部署DarkGate。研究人員指出，由于攻擊者劫持了外泄的Skype賬號，可對既有的消息進行拆解，并將附件文件設(shè)置為與對談內(nèi)容有關(guān)的名稱，使得收到消息的用戶更難發(fā)現(xiàn)異狀而上當。

值得留意的是，為了回避偵測，黑客利用了AutoIT的自動化批次文件（AU3）來制作腳本，在加載腳本的過程里，此批次文件會先偵測操作系統(tǒng)的環(huán)境，必須符合兩項條件才會加載。

（一）%Program Files%文件夾存在

（二）訪問的用戶賬號名稱并非SYSTEM

一旦目標計算機通過檢查，黑客的程序便會尋找AU3文件并解密，然后產(chǎn)生iexplore.exe、GoogleUpdateBroker.exe、Dell.D3.WinSvc.UILauncher.exe的處理程序，并注入Shell Code于內(nèi)存內(nèi)（In Memory）執(zhí)行DarkGate的惡意酬載。

近期黑客傳播DarkGate的攻擊事件頻傳，今年9月，安全企業(yè)Malwarebytes、TrustSec發(fā)現(xiàn)此惡意程序的攻擊行動，黑客先后運用了搜索引擎中毒（SEO Poisoning）、微軟即時通信軟件Teams來傳播。

而對于受害的范圍，根據(jù)研究人員的關(guān)注，他們發(fā)現(xiàn)大部分都在美洲，其次是亞洲、中東、非洲地區(qū)。

研究人員除了看到黑客通過Skype的即時消息，向用戶發(fā)送惡意VBS文件、傳播DarkGate，他們也觀察到其他的手法，并透露相關(guān)細節(jié)。其中一種是前面提到的Teams即時消息，但黑客發(fā)送的附件并非PDF文件，而是內(nèi)置Windows捷徑文件（LNK）的ZIP壓縮文件。

一旦用戶依照指示點擊LNK文件，計算機就會從特定的SharePoint網(wǎng)站其中，下載另一個壓縮文件Significant companychanges September.zip。這個ZIP文件內(nèi)置偽裝成PDF文件的LNK文件，若是執(zhí)行就有可能觸發(fā)VBS文件hm3.vbs，利用AutoIT腳本下載DarkGate惡意程序代碼。