Los investigadores de ciberseguridad han arrojado luz sobre una campa\u00f1a de malware DarkGate de corta duraci\u00f3n que aprovech\u00f3 los recursos compartidos de archivos Samba para iniciar las infecciones.<\/p>\n
La Unidad 42 de Palo Alto Networks afirm\u00f3 que la actividad se extendi\u00f3 durante los meses de marzo y abril de 2024, y que las cadenas de infecci\u00f3n utilizaron servidores que ejecutaban archivos compartidos de Samba de acceso p\u00fablico que alojaban archivos de Visual Basic Script (VBS) y JavaScript. Los objetivos inclu\u00edan Am\u00e9rica del Norte, Europa y partes de Asia.<\/p>\n
“Esta fue una campa\u00f1a relativamente de corta duraci\u00f3n que ilustra c\u00f3mo los actores de amenazas pueden abusar creativamente de herramientas y servicios leg\u00edtimos para distribuir su malware”, dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan. dicho<\/a>.<\/p>\n DarkGate, que surgi\u00f3 por primera vez<\/a> en 2018, tiene evolucionado<\/a> en una oferta de malware como servicio (MaaS) utilizada por un n\u00famero estrictamente controlado de clientes. Viene con capacidades para controlar de forma remota los hosts comprometidos, ejecutar c\u00f3digo, extraer criptomonedas, lanzar shells inversos y colocar adicional<\/a> cargas \u00fatiles<\/a>.<\/p>\n Los ataques que involucran malware han experimentado un aumento en particular en los \u00faltimos meses a ra\u00edz del desmantelamiento de la infraestructura de QakBot por parte de las fuerzas de seguridad multinacionales en agosto de 2023.<\/p>\n La campa\u00f1a documentada por la Unidad 42 comienza con archivos de Microsoft Excel (.xlsx) que, cuando se abren, instan a los objetivos a hacer clic en un bot\u00f3n Abrir incorporado, que, a su vez, obtiene y ejecuta el c\u00f3digo VBS alojado en un recurso compartido de archivos Samba.<\/p>\n El script de PowerShell est\u00e1 configurado para recuperar y ejecutar un script de PowerShell, que luego se utiliza para descargar un paquete DarkGate basado en AutoHotKey. <\/p>\n Las secuencias alternativas que utilizan archivos JavaScript en lugar de VBS no son diferentes, ya que tambi\u00e9n est\u00e1n dise\u00f1adas para descargar y ejecutar el script de PowerShell de seguimiento.<\/p>\n DarkGate funciona escaneando en busca de varios programas antimalware y verificando la informaci\u00f3n de la CPU para determinar si se est\u00e1 ejecutando en un host f\u00edsico o en un entorno virtual, lo que le permite obstaculizar el an\u00e1lisis. Tambi\u00e9n examina los procesos en ejecuci\u00f3n del host para determinar la presencia de herramientas de ingenier\u00eda inversa, depuradores o software de virtualizaci\u00f3n. <\/p>\n “El tr\u00e1fico de DarkGate C2 utiliza solicitudes HTTP no cifradas, pero los datos est\u00e1n ofuscados y aparecen como texto codificado en Base64”, dijeron los investigadores.<\/p>\n “A medida que DarkGate contin\u00faa evolucionando y perfeccionando sus m\u00e9todos de infiltraci\u00f3n y resistencia al an\u00e1lisis, sigue siendo un potente recordatorio de la necesidad de contar con defensas de ciberseguridad s\u00f3lidas y proactivas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-malware-DarkGate-explota-los-recursos-compartidos-de-archivos-Samba.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n