Los investigadores de ciberseguridad han arrojado luz sobre una campaña de malware DarkGate de corta duración que aprovechó los recursos compartidos de archivos Samba para iniciar las infecciones.
La Unidad 42 de Palo Alto Networks afirmó que la actividad se extendió durante los meses de marzo y abril de 2024, y que las cadenas de infección utilizaron servidores que ejecutaban archivos compartidos de Samba de acceso público que alojaban archivos de Visual Basic Script (VBS) y JavaScript. Los objetivos incluían América del Norte, Europa y partes de Asia.
«Esta fue una campaña relativamente de corta duración que ilustra cómo los actores de amenazas pueden abusar creativamente de herramientas y servicios legítimos para distribuir su malware», dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan. dicho.
DarkGate, que surgió por primera vez en 2018, tiene evolucionado en una oferta de malware como servicio (MaaS) utilizada por un número estrictamente controlado de clientes. Viene con capacidades para controlar de forma remota los hosts comprometidos, ejecutar código, extraer criptomonedas, lanzar shells inversos y colocar adicional cargas útiles.
Los ataques que involucran malware han experimentado un aumento en particular en los últimos meses a raíz del desmantelamiento de la infraestructura de QakBot por parte de las fuerzas de seguridad multinacionales en agosto de 2023.
La campaña documentada por la Unidad 42 comienza con archivos de Microsoft Excel (.xlsx) que, cuando se abren, instan a los objetivos a hacer clic en un botón Abrir incorporado, que, a su vez, obtiene y ejecuta el código VBS alojado en un recurso compartido de archivos Samba.
El script de PowerShell está configurado para recuperar y ejecutar un script de PowerShell, que luego se utiliza para descargar un paquete DarkGate basado en AutoHotKey.
Las secuencias alternativas que utilizan archivos JavaScript en lugar de VBS no son diferentes, ya que también están diseñadas para descargar y ejecutar el script de PowerShell de seguimiento.
DarkGate funciona escaneando en busca de varios programas antimalware y verificando la información de la CPU para determinar si se está ejecutando en un host físico o en un entorno virtual, lo que le permite obstaculizar el análisis. También examina los procesos en ejecución del host para determinar la presencia de herramientas de ingeniería inversa, depuradores o software de virtualización.
«El tráfico de DarkGate C2 utiliza solicitudes HTTP no cifradas, pero los datos están ofuscados y aparecen como texto codificado en Base64», dijeron los investigadores.
«A medida que DarkGate continúa evolucionando y perfeccionando sus métodos de infiltración y resistencia al análisis, sigue siendo un potente recordatorio de la necesidad de contar con defensas de ciberseguridad sólidas y proactivas».