4 de junio de 2024Sala de prensa Vulnerabilidad/Inteligencia sobre amenazas
Los ciberataques DarkGate que involucran operaciones de malware como servicio (MaaS) están pasando de los scripts AutoIt a los mecanismos AutoHotkey para realizar la etapa final, brindando apoyo continuo a los actores de amenazas para mantenerse a la vanguardia de la curva de detección.
La actualización fue confirmada en la versión 6 de DarkGate, lanzada en marzo de 2024 por el desarrollador RastaFarEye, que vende el programa mediante suscripción a hasta 30 clientes. Este malware ha estado activo desde al menos 2018.
DarkGate es un troyano de acceso remoto (RAT) con todas las funciones con comando y control (C2) y capacidades de rootkit, que incluyen robo de credenciales, registro de teclas, captura de pantalla y varias capacidades de escritorio remoto. Tiene módulos integrados.
“Los ataques Darkgate tienden a adaptarse muy rápidamente, cambiando varios componentes para evadir las soluciones de seguridad”, afirmó el lunes en un análisis el investigador de seguridad de Trellix, Ernesto Fernández Provecho. “Esta es la primera vez que descubrimos que Darkgate utiliza AutoHotKey, un intérprete de script menos común, para iniciar Darkgate”.
El cambio de DarkGate a AutoHotKey fue documentado por primera vez por McAfee Labs a finales de abril de 2024, y la cadena de ataque aprovechó fallas de seguridad como CVE-2023-36025 y CVE-2024-21412. Vale la pena señalar que los archivos adjuntos de Excel o HTML en los correos electrónicos de phishing se utilizan para evadir la protección SmartScreen de Microsoft Defender.
Se descubrió un método alternativo para recuperar y decodificar la carga útil de DarkGate desde un archivo de texto mediante el uso de un archivo de Excel con macros integradas como vía para ejecutar un archivo de script de Visual Basic que invoca comandos de PowerShell y, en última instancia, inicia el script AutoHotKey.
La última versión de DarkGate ha mejorado significativamente su configuración, técnicas de evasión y lista de comandos admitidos, y ahora también incluye funciones de grabación de audio, control del mouse y administración del teclado.
“La versión 6 no sólo incluye nuevos comandos, sino que también carece de algunos comandos que estaban en versiones anteriores, como escalada de privilegios, criptominería y hVNC (Hidden Virtual Network Computing)”, dijo Fernández Provecho, y agregó que esto podría ser. un esfuerzo por eliminar características que podrían permitir la detección.
“Además, dado que DarkGate se vende a un pequeño número de personas, es posible que los clientes no estuvieran interesados en esas funciones y RastaFarEye se viera obligado a eliminarlas”.
Las revelaciones se producen después de que se descubrió que los ciberdelincuentes estaban abusando de Docusign para vender plantillas de phishing personalizables de apariencia legítima en foros clandestinos, y que el servicio se utilizó para phishing y correos electrónicos comerciales. Son presa fácil para los phishers que buscan robar credenciales para el fraude BEC (BEC). .
“Estos correos electrónicos fraudulentos están cuidadosamente diseñados para imitar solicitudes legítimas de firma de documentos, incitando a destinatarios desprevenidos a hacer clic en enlaces maliciosos o divulgar información confidencial”.
La campaña DarkGate basada en AutoHotKey está dirigida a EE. UU., Europa y Asia
En un nuevo informe publicado el 5 de junio de 2024, Cisco Talos revela que DarkGate utilizando el script AutoHotKey se utilizó como parte de un ataque de phishing dirigido principalmente a los sectores de tecnología médica, telecomunicaciones y tecnología financiera en Estados Unidos, Europa y Asia. dijo que descubrió una campaña de malware.
“El proceso de infección comienza cuando se abre un documento Excel malicioso”, dijo el investigador de seguridad Kalpesh Mantri. “Estos archivos están diseñados específicamente para activar la descarga y ejecución automática de contenido malicioso alojado en servidores remotos mediante una técnica llamada ‘inyección de plantilla remota’.
(Este artículo se actualizó después de la publicación para incluir información adicional de Cisco Talos).
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/darkgate-malware-replaces-autoit-with.html