Una nueva campaña de implementación de malware DarkGate ha llamado la atención de los investigadores de ciberseguridad. Esto fue impulsado por la decisión del desarrollador. arrendar su producto a un número limitado de afiliados.
La actividad del malware DarkGate aumenta a medida que el desarrollador lo alquila
Según investigadores de ciberseguridad, un nuevo malware DarkGate la campaña hizo un escándalo. Se propaga a través de correos electrónicos de phishing y utiliza hilos de correo electrónico robados para engañar a los usuarios para que hagan clic en un hipervínculo que descarga el malware.. El análisis inicial indica que esta muestra de malware es muy similar al malware DarkGate.. La rutina de infección inicial y el protocolo de comunicación C2 observado fueron casi idénticos a análisis anteriores de la misma familia de malware.. Sin embargo, Investigaciones adicionales han confirmado que esta muestra es parte de la familia de malware DarkGate., basado en cadenas integradas y funcionalidad. Además, Es probable que el reciente aumento en la actividad del malware DarkGate se deba a que el desarrollador ha alquilado el malware a algunos afiliados..
Detalles del cargador DarkGate
DarkGate es un malware vendido principalmente en foros clandestinos por un usuario apodado rastaojo lejano. Este malware está diseñado para evitar la detección por parte del software de seguridad., y puede establecer persistencia a través de modificaciones del Registro de Windows para obtener privilegios elevados. En cuanto a los daños... roba datos de los navegadores web, Discordia, ArchivoZilla, y otro software y se conecta a un comando y control (C2) servidor para realizar tareas. Además, la tarea puede incluir enumeración de archivos, exfiltración de datos, lanzando mineros de criptomonedas, capturar capturas de pantalla de forma remota, y ejecutar otros comandos.
Extensión
Tradicionalmente, Los ataques de phishing han sido los primary delivery route for malware; Este caso no es una excepción. Además, según algunos informes, 79% de malware en el segundo trimestre 2023 fue entregado a través de correos electrónicos de phishing. Sin embargo, Los especialistas han identificado dos escenarios explícitos de contaminación DarkGate.. El primer método implica el uso de un patrón de infección en el que un archivo de instalación MSI es la carga útil inicial. De este modo, Las víctimas de esta infección reciben este archivo haciendo clic en un enlace incluido en un mensaje de phishing. Este enlace conduce a un sistema de distribución de tráfico. (SDT). Como resultado, redirige a la víctima a la URL de carga útil final para la descarga de MSI si se cumplen los requisitos del atacante. Al abrir el archivo MSI descargado, se desencadena la infección DarkGate.
Además, Los expertos han descubierto muestras de otra campaña con un script de Visual Basic para entregar la carga útil inicial. Sin embargo, Los expertos no entienden con precisión cómo se entrega la carga inicial a la víctima.. El script está ofuscado y contiene código señuelo/basura.. Más tarde, invoca el binario curl que viene preinstalado con Windows para descargar el archivo ejecutable y de script de AutoIt desde un servidor controlado por el atacante. Después de eso, La cadena de infección sigue la campaña descrita anteriormente..
Acción clave de DarkGate Loader
DarkGate es un cargador modular que puede entregar una variedad de cargas útiles, incluido Secuestro de datos, redes de bots, troyanos, registradores de teclas, software espía, y archivos dll. En otras palabras, DarkGate Loader es un malware versátil y peligroso que puede usarse para entregar una variedad de cargas útiles. El cargador espera comandos del servidor de comandos.. Cuando C2 envía un mensaje que contiene la dirección IP de un servidor secundario, DarkGate puede obtener la carga útil.
El malware utiliza el formato de archivo DLL para ejecutarse de forma sigilosa cargando la biblioteca en la memoria mediante el proceso del sistema llamado rundll32.exe o inyectándolo en una aplicación con una comprobación de DLL mala o nula.. Como resultado, el malware roba datos confidenciales como contraseñas y cookies del sistema de la víctima. Está dirigido a navegadores web., software de correo electrónico, y aplicaciones como Discord o FileZilla. El malware utiliza herramientas gratuitas legítimas publicadas por Nirsoft para extraer información., y puede acceder al sistema operativo, el usuario que ha iniciado sesión, los programas actualmente en ejecución, y otras fuentes de datos. Esta información se envía al servidor C2 y está disponible en el panel del actor de la amenaza.. Además, El malware puede recopilar archivos arbitrarios del sistema de la víctima cuando se solicita a través del canal C2..
Evasión de defensa
Después de la inicialización, el malware procede a una función identificada como «Bucle principal C2.» en este bucle, El malware comprueba periódicamente el servidor C2 en busca de nuevas instrucciones., ejecuta los comandos recibidos, y envía los resultados al servidor C2. El bucle principal C2 contiene más 100 pedidos, incluyendo la recopilación de información, Autogestión, autoactualización, ladrón, minero criptográfico, RATA, y gestión de archivos. El malware contiene múltiples funciones para evadir las herramientas de análisis típicas.. Si las funciones correspondientes están habilitadas, y la muestra detecta un entorno que coincide con una de las comprobaciones, terminará el proceso. Además, El malware busca varios productos antivirus conocidos y puede alterar su comportamiento según el resultado.. El producto AV descubierto se comunica al servidor C2.. El malware también puede enmascarar su presencia e inyectarse en procesos legítimos de Windows según la configuración utilizada..
Malware como servicio
Inicialmente, el malware solo fue utilizado de forma privada por el desarrollador. Pero ahora, Los autores de malware lo ofrecen como servicio de suscripción., con precios que van desde $1,000 por día a $15,000 por mes a $100,000 por año. Además, El autor afirma que el malware es la “herramienta definitiva para pentesters/redteamers” y se jacta de tener “características que no encontrará en ningún lado”. Por cierto, También se incluyen versiones anteriores de DarkGate. un módulo ransomware. En todo caso, La introducción del programa MaaS probablemente aumentará las campañas de malware DarkGate., convirtiéndolo en una amenaza constante en el futuro.
Cómo protegerse contra DarkGate Loader?
A continuación se ofrecen algunos consejos sobre cómo protegerse contra DarkGate Loader:
- Mantenga su software actualizado. Las actualizaciones de software suelen incluir parches de seguridad que pueden ayudar a proteger sus dispositivos del malware..
- Tenga cuidado con qué sitios web visitas y en qué enlaces haces clic. malware, como cargador DarkGate, puede propagarse a través de sitios web y enlaces maliciosos.
- Utilice un cortafuegos para bloquear el acceso no autorizado a sus dispositivos. Esto puede ayudar a evitar que DarkGate Loader infecte sus dispositivos.
- Haga una copia de seguridad de sus datos periódicamente. Por aquí, si sus dispositivos están infectados con DarkGate Loader, siempre puedes restaurar tus datos desde una copia de seguridad.
- Utilice un administrador de contraseñas seguro para crear y almacenar contraseñas seguras para sus cuentas en línea.
- Permitir Autenticación de dos factores (2FA) para sus cuentas en línea. Esto agregará una capa adicional de seguridad a sus cuentas..
- Usar una solución antimalware con firmas actualizadas. Ayudará a detectar y eliminar DarkGate Loader si logra infectar su dispositivo..
