En los ultimos años, DarkGate ha estado relativamente inactivo. Sin embargo, Se han detectado varios despliegues de campaña este año en América., Asia, el medio Oriente, y África. Comenzaron a apuntar a las aplicaciones de Microsoft., como Skype y Teams, para difundir a los sistemas de destino.
¿Qué es el cargador DarkGate??
DarkGate Loader is a type of malware que es capaz de descargar y ejecutar otros tipos de malware, incluyendo ransomware, troyanos, y mineros de criptomonedas. Además, se puede utilizar para extraer datos confidenciales desde la computadora de la víctima, como contraseñas, números de tarjetas de crédito, e información personal.
Este malware normalmente se distribuye a través de correos electrónicos de phishing o archivos adjuntos maliciosos. Una vez instalado en el ordenador de la víctima, puede comunicarse con un comando remoto y control (C2) servidor para recibir instrucciones y descargar malware adicional.
DarkGate Loader ha ido ganando popularidad entre los ciberdelincuentes desde que su creador lo anunció como una oferta de malware como servicio en foros populares en junio 2023. Previamente, El cargador DarkGate fue distribuido mediante malspam tradicional basado en correo electrónico campañas, similares a los utilizados por Emotet. Sin embargo, un operador comenzó usando Microsoft Teams para entregar el malware en agosto a través de mensajes de chat de ingeniería social con temas de recursos humanos. Esta nueva táctica ha provocado un aumento en el número de infecciones de DarkGate Loader.
DarkGate se propaga a través de Microsoft Teams y spam de Skype
Una empresa se enfrenta a un ataque de phishing dirigido desde finales de septiembre. Los atacantes han sido usando la funcionalidad de Microsoft Teams para entregar el El malware DarkGate Loader. Afortunadamente, Todos los empleados recibieron formación periódica para identificar intentos de phishing., y rápidamente intervinieron. Como resultado, sin empleados, clientes, o los recursos de la empresa resultaron dañados durante este incidente. El mensaje malicioso fue bloqueado antes de que pudiera llegar a alguno de los empleados..
Después de analizar un caso reciente, descubrimos que el El malware DarkGate Loader se entregó en la carga útil de un archivo ZIP. La siguiente imagen ilustra todo el proceso de ataque., desde el momento en que se envía el mensaje de Microsoft Teams hasta la ejecución del DarkGate Loader:
En la siguiente muestra, El actor de amenazas aprovechó una relación de confianza entre dos organizaciones para engañar al destinatario para que ejecute el script VBA adjunto. Obteniendo acceso a la cuenta de Skype de la víctima, el atacante podría tomar el control de un hilo de mensajería existente y crear nombres de archivos relacionados con el contexto del historial de chat.
Las víctimas recibieron un mensaje de un cuenta de skype comprometida. El mensaje contenía un script VBS engañoso con un nombre de archivo que seguía el formato: «
«. El espacio en el nombre del archivo era diseñado deliberadamente para engañar al usuario a pensar que el archivo era un documento .PDF mientras en realidad ocultaba el formato real, que era www.skype[.]vbs
. En esta muestra, el destinatario creía que el remitente era alguien de un proveedor externo de confianza.
Consecuencias de la instalación
Los expertos notaron que la amenaza funcionaba como un descargador de más cargas útiles.. Una vez el malware DarkGate fue instalado, depositó archivos tanto en el <С:/Intel/>
y <%appdata%/Adobe/>
directorios, lo que ayudó en su intento de disfrazarse.
Los archivos eliminados fueron identificados como variaciones de DarkGate o Remcos., más probable mejorar a los atacantes’ mantener el sistema infectado. A continuación se muestran algunos de los nombres de archivos de muestra que encontramos para estas cargas útiles adicionales.:
- Folkevognsrugbrd.exe
- logbackup_0.exe
- sdvbs.exe
- Sistema de gestión de armas.exe
- SDvaners.exe
- cuentagotas.exe
Cómo protegerse contra DarkDate Loader?
DarkGate Loader es un malware peligroso que puede usarse para robar datos confidenciales de su computadora e instalar otro malware, como ransomware y troyanos. Si eres un individuo o una organización, Es importante ser consciente de los riesgos que plantea DarkGate Loader y tomar medidas para protegerse..
Para protegerlo a usted y a su organización contra DarkGate Loader, puedes seguir los siguientes pasos:
- Usar un administrador de contraseñas confiable para crear y almacenar fuerte, Las contraseñas individuales para todas sus cuentas son cruciales.. Las contraseñas seguras son difíciles de adivinar y pueden proteger sus cuentas de ataques de fuerza bruta..
- Implementar una solución de filtrado de contenido web para bloquear sitios web maliciosos. Un filtro de contenido web impide el acceso a sitios de phishing y malware conocidos.
- Implemente un firewall de próxima generación (NGFW) para proteger su red del tráfico malicioso. Un NGFW puede ayudar a detectar y bloquear malware, correos electrónicos de phishing, y otros tipos de ciberataques.
- Descargue software y archivos únicamente de fuentes confiables. Evite descargar archivos de sitios web sospechosos o utilizar tiendas de aplicaciones no oficiales.
- Utilice EDR/XDR para proporcionar monitoreo en tiempo real, detección de amenazas, y capacidades de respuesta a incidentes en toda su red y puntos finales. Estas herramientas pueden identificar actividades inusuales o sospechosas que podrían indicar malware en el cargador..