Los investigadores de ciberseguridad han descubierto una campaña de malware DarkGate de corta duración que explotaba los archivos compartidos de Samba para iniciar infecciones.
La Unidad 42 de Palo Alto Networks dijo que la actividad abarcó marzo y abril de 2024, con cadenas de infección que utilizaban servidores que ejecutaban recursos compartidos de archivos públicos Samba y alojaban archivos Visual Basic Script (VBS) y JavaScript. Los objetivos incluían América del Norte, Europa y partes de Asia.
«Esta es una campaña relativamente corta que ilustra cómo los actores maliciosos pueden abusar creativamente de herramientas y servicios legítimos para distribuir su malware», dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan. dicho.
Puerta Oscura, que apareció por primera vez en 2018, evolucionado en una oferta de malware como servicio (MaaS) utilizada por un número estrictamente controlado de clientes. Viene con funciones para controlar de forma remota hosts comprometidos, ejecutar código, extraer criptomonedas, iniciar shells inversos y eliminar archivos. adicional cargas útiles.
Los ataques que involucran malware han experimentado un aumento particular en los últimos meses luego de la eliminación de la infraestructura QakBot por parte de las fuerzas del orden multinacionales en agosto de 2023.
La campaña documentada por la Unidad 42 comienza con archivos de Microsoft Excel (.xlsx) que, cuando se abren, solicitan a los objetivos que hagan clic en un botón Abrir incorporado, que, a su vez, recupera y ejecuta código VBS alojado en un archivo compartido Samba.
El script de PowerShell está configurado para recuperar y ejecutar un script de PowerShell, que luego se usa para descargar un paquete DarkGate basado en AutoHotKey.
Las secuencias alternativas que utilizan archivos JavaScript en lugar de VBS no se diferencian en que también están diseñadas para descargar y ejecutar el script de seguimiento de PowerShell.
DarkGate funciona escaneando varios programas antimalware y verificando la información de la CPU para determinar si se está ejecutando en un host físico o en un entorno virtual, lo que le permite obstaculizar el escaneo. También examina los procesos en ejecución del host para determinar la presencia de herramientas de ingeniería inversa, depuradores o software de virtualización.
«El tráfico de DarkGate C2 utiliza solicitudes HTTP no cifradas, pero los datos están ofuscados y aparecen como texto codificado en Base64», dijeron los investigadores.
“A medida que DarkGate continúa evolucionando y perfeccionando sus métodos de infiltración y resistencia al escaneo, sigue siendo un poderoso recordatorio de la necesidad de contar con defensas de ciberseguridad sólidas y proactivas. »
