Se ha observado una nueva campaña de malspam que implementa un malware disponible en el mercado llamado Puerta oscura.
«El actual aumento en la actividad del malware DarkGate es plausible dado que el desarrollador del malware ha comenzado recientemente a alquilarlo a un número limitado de afiliados», Telekom Security dicho en un informe publicado la semana pasada.
El último informe se basa en hallazgos recientes del investigador de seguridad Igal Lytzki, quien detalló una «campaña de gran volumen» que aprovecha los hilos de correo electrónico secuestrados para engañar a los destinatarios para que descarguen el malware.
El ataque comienza con una URL de phishing que, al hacer clic, pasa a través de un sistema de dirección de tráfico (TDS) para llevar a la víctima a una carga útil MSI sujeta a ciertas condiciones. Esto incluye la presencia de un encabezado de actualización en la respuesta HTTP.
Abrir el archivo MSI desencadena un proceso de varias etapas que incorpora un script AutoIt para ejecutar shellcode que actúa como un conducto para descifrar e iniciar DarkGate a través de un cifrador (o cargador).
Específicamente, el cargador está diseñado para analizar el script AutoIt y extraer la muestra de malware cifrada.
Se ha observado una variación alternativa de los ataques utilizando un script de Visual Basic en lugar de un archivo MSI, que, a su vez, utiliza cURL para recuperar el archivo ejecutable y de script de AutoIt. Actualmente se desconoce el método exacto mediante el cual se entrega el VB Script.
DarkGate, vendido principalmente en foros clandestinos por un actor llamado RastaFarEye, viene con capacidades para evadir la detección por software de seguridad, configurar la persistencia usando cambios en el Registro de Windows, escalar privilegios y robar datos de navegadores web y otro software como Discord y FileZilla.
También establece contacto con un servidor de comando y control (C2) para enumerar archivos, exfiltración de datos, iniciar mineros de criptomonedas y capturar capturas de pantalla de forma remota, así como ejecutar otros comandos.
El malware se ofrece como una suscripción que va desde $1.000 por día hasta $15.000 por mes y $100.000 por año, y el autor lo anuncia como la «herramienta definitiva para pentesters/redteamers» y que tiene «características que no encontrarás en ninguna parte». «. Curiosamente, las versiones anteriores de DarkGate también vino equipado con un módulo de ransomware.
Los ataques de phishing son un vía de entrega primaria para ladrones, troyanos y cargadores de malware como Registrador de teclas KrakenQakBot, Ladrón de mapachesSmokeLoader y otros, y los actores de amenazas agregan continuamente nuevas características y mejoras para ampliar sus funcionalidades.
De acuerdo a un informe reciente publicado por HP Wolf Security, el correo electrónico siguió siendo el principal vector para entregar malware a los puntos finales, representando el 79% de las amenazas identificadas en el segundo trimestre de 2023.