Los ataques que aprovechan el malware DarkGate dirigido a entidades en el Reino Unido, EE. UU. e India se han vinculado a actores vietnamitas asociados con el uso del infame ladrón Ducktail.
«Es muy probable que la superposición de herramientas y campañas se deba a los efectos de un mercado de delitos cibernéticos», WithSecure dicho en un informe publicado hoy. «Los actores de amenazas pueden adquirir y utilizar múltiples herramientas diferentes para el mismo propósito, y todo lo que tienen que hacer es idear objetivos, campañas y señuelos».
El desarrollo se produce en medio de un aumento en las campañas de malware que utilizan DarkGate en los últimos meses, impulsado principalmente por la decisión de su autor de alquilarlo en forma de malware como servicio (MaaS) a otros actores de amenazas después de usarlo de forma privada desde 2018.
No se trata solo de DarkGate y Ducktail, ya que el grupo de actores de amenazas vietnamitas responsable de estas campañas está aprovechando señuelos, temas, objetivos y métodos de entrega iguales o muy similares para ofrecer también LOBSHOT y Ladrón de línea roja.
Las cadenas de ataques que distribuye DarkGate se caracterizan por el uso de scripts AutoIt recuperados mediante un script de Visual Basic enviado a través de correos electrónicos de phishing o mensajes en Skype o Microsoft Teams. La ejecución del script AutoIt conduce al despliegue de DarkGate.
En este caso, sin embargo, el vector de infección inicial fue un mensaje de LinkedIn que redirigía a la víctima a un archivo alojado en Google Drive, una técnica comúnmente utilizada por los actores de Ducktail.
«Se han utilizado temas de campaña y señuelos muy similares para entregar Ducktail y DarkGate», dijo WithSecure, aunque la función de la etapa final difiere en gran medida.
Mientras que Ducktail funciona como un ladrón, DarkGate es un troyano de acceso remoto (RAT) con capacidades de robo de información que también establece una persistencia encubierta en los hosts comprometidos para el acceso por puerta trasera.
«DarkGate existe desde hace mucho tiempo y está siendo utilizado por muchos grupos para diferentes propósitos, y no sólo este grupo o grupo en Vietnam», dijo el investigador de seguridad Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure.
«La otra cara de esto es que los actores pueden utilizar múltiples herramientas para la misma campaña, lo que podría ocultar el verdadero alcance de su actividad a partir de análisis puramente basados en malware».