دو شرکت Fortinet و Palo Alto Networks از شناسایی یک کمپین جدید بدافزارInfostealer با نام DarkCloud خبر دادهاند که با وجود مبهمسازی گسترده و سختی در شناسایی، همچنان از روشهای آلودهسازی آشنا استفاده میکند.
به گزارش افتانا، به گفتهPalo Alto، این نسخه جدید با بهرهگیری از ConfuserEx و بار مخرب VB6 در زنجیره آلودگی، تحلیل خود را پیچیده کرده است. این بدافزار یک فایل DLL رمزگذاریشده را در قالب یک تصویر JPEG مخفی میکند که توسط اسکریپت PowerShell رمزگشایی میشود.
طبق گزارش Fortinet، بیش از ۶۰۰ رشته کد آن پشت لایههای رمزگذاری پنهان شده که در زمان اجرا بهصورت پویا رمزگشایی میشوند.
فرآیند آلودهسازی همچنان همان روشهای قدیمی را دنبال میکند: فریب کاربر برای باز کردن یک ایمیل فیشینگ، دانلود و استخراج فایلهای فشرده با فرمت RAR، TAR یا 7Z و اجرای یک فایل JavaScript ناشناس.
بدافزار DarkCloud نخستین بار در سال ۲۰۲۲ شناسایی شد و گزارشهای اولیه بیانگر آن است که از آن زمان در حملاتی علیه نهادهای دولتی و سازمانها مورد استفاده قرار گرفته است. در ژانویه ۲۰۲۳ فعالیت آن بهصورت گستردهتری مثل حمله به بخشهای دولتی لهستان مشاهده شد.
در سهماهه اول ۲۰۲۳، تعداد نمونههای DarkCloud افزایش یافت. شرکتهایی مانند Cyware و Critical Start گزارش کردند که این بدافزار بهصورت گسترده از طریق ایمیلهای اسپم توزیع میشود. مرکز پاسخگویی ASEC در مارس–می ۲۰۲۳ کشف کرد که DarkCloud در ترکیب با ابزار ClipBanker در ایمیلهای فیشینگ توزیع میشود. این Dropper پس از اجرا، DarkCloud و ClipBanker را نصب میکند تا اطلاعات ورود کاربران و حتی جابهجایی آدرسهای کیف پول رمزارز را به دنبال داشته باشد
در ژانویه ۲۰۲۵، تیم Unit 42 از Palo Alto Networks حملاتی را شناسایی کرد که در آنها از اسکریپت AutoIt در زنجیره حمله استفاده میشد. این بدافزار کاربران را هدف قرار میدهد و در برخی موارد توسط دولتها و اپراتورهای مخابراتی شناسایی شد. در یک کمپین ویژه در آوریل ۲۰۲۵، DarkCloud با ایمیلی که وانمود میکرد شرکت اسپانیایی فروش تجهیزات کوهنوردی است، به شکل یک فایل TAR مخرب توزیع شد. این حمله علیه شرکتها در بخشهای فناوری، حقوقی، مالی، بهداشت، انرژی و غیره انجام شد.
