{"id":926685,"date":"2023-08-29T17:52:52","date_gmt":"2023-08-29T17:52:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-actividad-del-malware-darkgate-aumenta-a-medida-que-el-desarrollador-alquila-el-malware-a-sus-afiliados\/"},"modified":"2023-08-29T17:52:55","modified_gmt":"2023-08-29T17:52:55","slug":"la-actividad-del-malware-darkgate-aumenta-a-medida-que-el-desarrollador-alquila-el-malware-a-sus-afiliados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-actividad-del-malware-darkgate-aumenta-a-medida-que-el-desarrollador-alquila-el-malware-a-sus-afiliados\/","title":{"rendered":"La actividad del malware DarkGate aumenta a medida que el desarrollador alquila el malware a sus afiliados"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de agosto de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias de los piratas inform\u00e1ticos<\/span><\/span><span class=\"p-tags\">Malware\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado una nueva campa\u00f1a de malspam que implementa un malware disponible en el mercado llamado <b>Puerta oscura<\/b>.<\/p>\n<p>&#8220;El actual aumento en la actividad del malware DarkGate es plausible dado que el desarrollador del malware ha comenzado recientemente a alquilarlo a un n\u00famero limitado de afiliados&#8221;, Telekom Security <a rel=\"nofollow noopener\" href=\"https:\/\/github.security.telekom.com\/2023\/08\/darkgate-loader.html\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>El \u00faltimo informe se basa en <a rel=\"nofollow noopener\" href=\"https:\/\/0xtoxin.github.io\/threat%20breakdown\/DarkGate-Camapign-Analysis\/\" target=\"_blank\">hallazgos recientes<\/a> del investigador de seguridad Igal Lytzki, quien detall\u00f3 una &#8220;campa\u00f1a de gran volumen&#8221; que aprovecha los hilos de correo electr\u00f3nico secuestrados para enga\u00f1ar a los destinatarios para que descarguen el malware.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjDdxUPmQ8UJQm7kd9rIBsYCDlCQoR3bqVu4rchvOWFKGtnDq1ldILMskU-tlbXnHlWQVvGxivE1Fe-Lh5dJlECjsiblKiu8sbqMdqKgxy97B6MLcQuXtpP2lOmhjny2d5jmCkjl9wSzPqoLkAQ2KHee1cno62wV4IXDkMLIFfzgANa6DJDIBjFicKsID_i\/s728-e3650\/1.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El ataque comienza con una URL de phishing que, al hacer clic, pasa a trav\u00e9s de un sistema de direcci\u00f3n de tr\u00e1fico (TDS) para llevar a la v\u00edctima a una carga \u00fatil MSI sujeta a ciertas condiciones.  Esto incluye la presencia de un encabezado de actualizaci\u00f3n en la respuesta HTTP.<\/p>\n<p>Abrir el archivo MSI desencadena un proceso de varias etapas que incorpora un script AutoIt para ejecutar shellcode que act\u00faa como un conducto para descifrar e iniciar DarkGate a trav\u00e9s de un cifrador (o cargador).<\/p>\n<p>Espec\u00edficamente, el cargador est\u00e1 dise\u00f1ado para analizar el script AutoIt y extraer la muestra de malware cifrada.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693331571_433_La-actividad-del-malware-DarkGate-aumenta-a-medida-que-el.jpg\" alt=\"Malware DarkGate\" border=\"0\" data-original-height=\"536\" data-original-width=\"728\" title=\"Malware DarkGate\"\/><\/div>\n<p>Se ha observado una variaci\u00f3n alternativa de los ataques utilizando un script de Visual Basic en lugar de un archivo MSI, que, a su vez, utiliza cURL para recuperar el archivo ejecutable y de script de AutoIt.  Actualmente se desconoce el m\u00e9todo exacto mediante el cual se entrega el VB Script.<\/p>\n<p>DarkGate, vendido principalmente en foros clandestinos por un actor llamado RastaFarEye, viene con capacidades para evadir la detecci\u00f3n por software de seguridad, configurar la persistencia usando cambios en el Registro de Windows, escalar privilegios y robar datos de navegadores web y otro software como Discord y FileZilla.<\/p>\n<p>Tambi\u00e9n establece contacto con un servidor de comando y control (C2) para enumerar archivos, exfiltraci\u00f3n de datos, iniciar mineros de criptomonedas y capturar capturas de pantalla de forma remota, as\u00ed como ejecutar otros comandos.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El malware se ofrece como una suscripci\u00f3n que va desde $1.000 por d\u00eda hasta $15.000 por mes y $100.000 por a\u00f1o, y el autor lo anuncia como la &#8220;herramienta definitiva para pentesters\/redteamers&#8221; y que tiene &#8220;caracter\u00edsticas que no encontrar\u00e1s en ninguna parte&#8221;. &#8220;.  Curiosamente, las versiones anteriores de DarkGate tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/enter-the-darkgate-new-cryptocurrency-mining-and-ransomware-campaign\" target=\"_blank\">vino equipado<\/a> con un m\u00f3dulo de ransomware.<\/p>\n<p>Los ataques de phishing son un <a rel=\"nofollow noopener\" href=\"https:\/\/www.reliaquest.com\/blog\/3-malware-loaders-you-cant-shouldnt-iognore\/\" target=\"_blank\">v\u00eda de entrega primaria<\/a> para ladrones, troyanos y cargadores de malware como <a rel=\"nofollow noopener\" href=\"https:\/\/0xtoxin.github.io\/threat%20hunting\/KrakenKeylogger-pt2\/\" target=\"_blank\">Registrador de teclas Kraken<\/a>QakBot, <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/financial-services\/raccoon-stealer\/\" target=\"_blank\">Ladr\u00f3n de mapaches<\/a>SmokeLoader y otros, y los actores de amenazas agregan continuamente nuevas caracter\u00edsticas y mejoras para ampliar sus funcionalidades.<\/p>\n<p>De acuerdo a un <a rel=\"nofollow noopener\" href=\"https:\/\/threatresearch.ext.hp.com\/hp-wolf-security-threat-insights-report-q2-2023\/\" target=\"_blank\">informe reciente<\/a> publicado por HP Wolf Security, el correo electr\u00f3nico sigui\u00f3 siendo el principal vector para entregar malware a los puntos finales, representando el 79% de las amenazas identificadas en el segundo trimestre de 2023.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/darkgate-malware-activity-spikes-as.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de agosto de 2023\ue804Las noticias de los piratas inform\u00e1ticosMalware\/amenaza cibern\u00e9tica Se ha observado una nueva campa\u00f1a de<\/p>\n","protected":false},"author":1,"featured_media":926686,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[1605,4657,4656,21537,13225,4661,446,4664,202178,38,44202,4662,4668,201033,4669,5944,4654,201031,4659,4653,4655,4666,4665,201032,251,4660],"class_list":["post-926685","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actividad","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-afiliados","tag-alquila","tag-ataques-ciberneticos","tag-aumenta","tag-como-hackear","tag-darkgate","tag-del","tag-desarrollador","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-medida","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-sus","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/926685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=926685"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/926685\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/926686"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=926685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=926685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=926685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}