A kibertámadások világa az utóbbi években teljesen átalakult. Nem a bonyolult, milliókat érő hacker eszközök jelentik ma a legnagyobb veszélyt, hanem az olcsó, könnyen hozzáférhető kártevők. Egy frissen elemzett malware például mindössze 30 dollárba kerül, mégis komoly fenyegetést jelent vállalkozások számára.
A neve DarkCloud, és a szakértők szerint egyre gyakrabban bukkan fel a kibűnözői piacokon. A program már 2022 óta kering különböző Telegram csatornákon és online fórumokon, ahol gyakorlatilag bárki megvásárolhatja. Ez a rendkívül alacsony ár azt jelenti, hogy ma már nem kell profi hackernek lenni ahhoz, hogy valaki adatlopó támadást indítson.
A DarkCloud egy úgynevezett infostealer, vagyis olyan malware, amelynek elsődleges célja a felhasználói adatok begyűjtése. Amint egy fertőzött számítógépre kerül, elkezdi átvizsgálni a rendszert, és különböző alkalmazásokból érzékeny információkat gyűjt össze. Ide tartozhatnak a böngészőkben eltárolt jelszavak, cookie-k, pénzügyi adatok vagy éppen e-mail fiókokból származó információk.
Az ilyen adatok rendkívül értékesek a kibűnözők számára. Gyakran nem is azonnal használják fel őket, hanem továbbértékesítik más támadóknak, akik később zsarolóvírus-támadásokat indítanak vagy mélyebben behatolnak egy vállalati hálózatba.
A DarkCloud egyik legérdekesebb tulajdonsága, hogy egy meglepően régi technológiát használ. A kártékony program Visual Basic 6.0 nyelven készült, amely több mint két évtizede jelent meg, és ma már szinte teljesen eltűnt a modern szoftverfejlesztésből. Éppen ez az oka annak, hogy bizonyos biztonsági rendszerek nehezebben észlelik.
A régi fejlesztési környezet futtatókörnyezetének komponensei ugyanis még mindig jelen vannak a Windows rendszerekben. A malware így képes modern számítógépeken is működni, miközben egyes biztonsági eszközök kevésbé figyelnek az ilyen elavult technológiákra.
A fejlesztők emellett több trükköt is beépítettek a kódba, hogy megnehezítsék az elemzést. A programban található szövegek és parancsok titkosítva vannak, és csak futás közben állnak össze értelmezhető formába. Ez azt jelenti, hogy a biztonsági kutatóknak jóval nehezebb feltérképezni a malware működését.
Miután a DarkCloud összegyűjtötte az adatokat, először a fertőzött számítógépen tárolja őket külön mappákban. Ezekben a könyvtárakban a kártevő strukturált adatfájlokat hoz létre, amelyek később könnyen továbbíthatók a támadók szervereire.
Az adatok kiszivárogtatására több módszert is használhat. A malware képes például e-mailen keresztül elküldeni az információkat SMTP kapcsolaton, FTP szerverre feltölteni őket, vagy akár Telegram csatornákon továbbítani. Egyes esetekben egyszerű HTTP feltöltést is használhat, ami még nehezebbé teszi a gyanús forgalom felismerését.
Az ilyen infostealer programok sokszor csak a támadás első lépcsőjét jelentik. A megszerzett jelszavakkal a támadók később beléphetnek vállalati rendszerekbe, további malware-t telepíthetnek, vagy akár zsarolóvírus-támadásokat indíthatnak.
A biztonsági szakértők szerint az egyik legnagyobb probléma nem is a DarkCloud technológiai szintje, hanem az ára és az elérhetősége. Egy ilyen eszköz megvásárlása ma már kevesebbe kerül, mint egy videojáték, miközben komoly károkat okozhat egy vállalkozás számára.
Ez jól mutatja, hogy a modern kibertámadások világában a belépési küszöb egyre alacsonyabb. A támadók számára sokszor nem a kifinomult technológia a kulcs, hanem az, hogy az eszközök olcsók, könnyen beszerezhetők és egyszerűen használhatók.
És pontosan ez teszi az ilyen malware-eket igazán veszélyessé.
