Las campañas de phishing que distribuyen familias de malware como DarkGate y PikaBot siguen las mismas tácticas utilizadas anteriormente en ataques que aprovechan el ya desaparecido troyano QakBot.
“Estos incluyen hilos de correo electrónico secuestrados como infección inicial, URL con patrones únicos que limitan el acceso de los usuarios y una cadena de infección casi idéntica a la que hemos visto con la entrega de QakBot”, Cofense dicho en un informe compartido con The Hacker News.
“Las familias de malware utilizadas también siguen el ejemplo que esperaríamos que usaran los afiliados de QakBot”.
QakBot, también llamado QBot y Pinkslipbot, fue cerrado como parte de un esfuerzo coordinado de aplicación de la ley con el nombre en código Operación Duck Hunt a principios de agosto.
El uso de DarkGate y PikaBot en estas campañas no es sorprendente, ya que ambos pueden actuar como conductos para entregar cargas útiles adicionales a los hosts comprometidos, lo que los convierte en una opción atractiva para los ciberdelincuentes.
Zscaler destacó previamente los paralelos de PikaBot con QakBot en su análisis del malware en mayo de 2023, señalando similitudes en los “métodos de distribución, campañas y comportamientos del malware”.
DarkGate, por su parte, incorpora técnicas avanzadas para evadir la detección de los sistemas antivirus, junto con capacidades para registrar pulsaciones de teclas, ejecutar PowerShell e implementar un shell inverso que permite a sus operadores controlar un host infectado de forma remota.
“La conexión es bidireccional, lo que significa que los atacantes pueden enviar comandos y recibir respuestas en tiempo real, lo que les permite navegar por el sistema de la víctima, extraer datos o realizar otras acciones maliciosas”, Sekoia dicho en un nuevo informe técnico del malware.
El análisis de Cofense de la campaña de phishing de gran volumen muestra que se dirige a una amplia gama de sectores, y las cadenas de ataque propagan una URL trampa que apunta a un archivo ZIP en hilos de correo electrónico secuestrados.
El archivo ZIP contiene un cuentagotas de JavaScript que, a su vez, contacta una segunda URL para descargar y ejecutar el malware DarkGate o PikaBot.
Se ha observado una variante notable de los ataques que aprovecha los archivos complementarios de Excel (XLL) en lugar de los cuentagotas de JavaScript para entregar las cargas útiles finales.
“Una infección exitosa de DarkGate o PikaBot podría conducir a la entrega de software avanzado de criptominería, herramientas de reconocimiento, ransomware o cualquier otro archivo malicioso que los actores de amenazas deseen instalar en la máquina de la víctima”, dijo Cofense.