Malware DarkGate

Ha salido a la luz una campaña de malspam que utiliza un malware disponible conocido como DarkGate. Los investigadores de ciberseguridad sugieren que el aumento en la actividad del malware DarkGate probablemente se deba a la reciente decisión del desarrollador de malware de ofrecerlo en alquiler a un grupo selecto de socios cibercriminales. La implementación de esta amenaza también se ha asociado con una campaña a gran escala que explota los hilos de correo electrónico comprometidos para engañar a los destinatarios para que descarguen el malware sin saberlo.

El malware DarkGate se transmite mediante un proceso de ataque de varias etapas

El ataque se inicia atrayendo a la víctima a una URL de phishing que, al hacer clic, pasa por un sistema de dirección de tráfico (TDS). El objetivo es dirigir a las víctimas desprevenidas a una carga útil de MSI bajo ciertas condiciones específicas. Una de estas condiciones es la presencia de un encabezado de actualización en la respuesta HTTP.

Al abrir el archivo MSI, se activa un proceso de varias etapas. Este proceso implica la utilización de un script AutoIt para ejecutar shellcode, que sirve como medio para descifrar e iniciar la amenaza DarkGate a través de un cifrador o cargador. Para ser más precisos, el cargador está programado para analizar el script AutoIt y extraer de él la carga útil cifrada.

También se ha observado una versión alternativa de estos ataques. En lugar de un archivo MSI, se emplea un script de Visual Basic, que utiliza cURL para recuperar tanto el ejecutable de AutoIt como el archivo de script. Actualmente se desconoce el método exacto utilizado para entregar el VB Script.

DarkGate puede realizar numerosas acciones dañinas en los dispositivos vulnerados

DarkGate cuenta con una variedad de capacidades que le permiten evadir la detección del software de seguridad, establecer persistencia a través de modificaciones del Registro de Windows, elevar privilegios y robar datos de navegadores web y plataformas de software como Discord y FileZilla.

Además, establece comunicación con un servidor de Comando y Control (C2), lo que permite acciones como enumeración de archivos, extracción de datos, inicio de operaciones de minería de criptomonedas, captura remota de capturas de pantalla y ejecución de varios comandos.

Esta amenaza se comercializa principalmente en foros clandestinos mediante un modelo de suscripción. Los precios ofrecidos varían, desde $ 1000 por día hasta $ 15 000 por mes e incluso hasta $ 100 000 al año. El creador del malware lo promociona como la "herramienta definitiva para probadores de penetración/equipos rojos", destacando sus características exclusivas que supuestamente no se encuentran en ningún otro lugar. Curiosamente, los investigadores de ciberseguridad descubrieron iteraciones anteriores de DarkGate que también incluían un módulo de ransomware.

No se deje engañar por los trucos utilizados en los ataques de phishing

Los ataques de phishing son una vía de distribución principal para una variedad de amenazas de malware, incluidos ladrones, troyanos y cargadores de malware. Reconocer estos intentos de phishing es fundamental para mantenerse seguro y no exponer sus dispositivos a riesgos peligrosos para la seguridad o la privacidad. Aquí hay algunas señales de alerta típicas a tener en cuenta:

• • Dirección de remitente sospechoso : verifique cuidadosamente la dirección de correo electrónico del remitente. Tenga cuidado si contiene errores ortográficos, caracteres adicionales o no coincide con el dominio oficial de la organización de la que dice provenir.

• • Saludos no especificados : los correos electrónicos de phishing suelen utilizar saludos genéricos como "Estimado usuario" en lugar de dirigirse a usted por su nombre. Las organizaciones legítimas suelen personalizar su comunicación.

• • Lenguaje urgente o amenazante : los correos electrónicos de phishing tienden a crear una sensación de urgencia o miedo para impulsar una acción inmediata. Es posible que le afirmen que su cuenta está suspendida o que enfrentará consecuencias a menos que actúe rápidamente.

• • Solicitudes inusuales de información personal : tenga cuidado con los correos electrónicos que solicitan información confidencial como contraseñas, números de seguro social o detalles de tarjetas de crédito. Las organizaciones legítimas no solicitarán dicha información por correo electrónico.

• • Archivos adjuntos inusuales : no abra archivos adjuntos de remitentes desconocidos. Podrían contener malware. Incluso si el archivo adjunto le resulta familiar, tenga cuidado si es inesperado o le insta a tomar medidas inmediatas.

• • Ofertas demasiado buenas para ser verdad : los correos electrónicos de phishing pueden prometer recompensas, premios u ofertas increíbles cuyo objetivo es inducirlo a hacer clic en enlaces maliciosos o proporcionar información personal.

• • Enlaces inesperados : tenga cuidado con los correos electrónicos que contengan enlaces inesperadamente. En lugar de hacer clic, escriba manualmente la dirección del sitio web oficial en su navegador.

• • Manipulación emocional : los correos electrónicos de phishing pueden intentar evocar emociones como curiosidad, simpatía o entusiasmo para que acceda a enlaces o descargue archivos adjuntos.

• • Falta de información de contacto : las organizaciones legítimas suelen proporcionar información de contacto. Si un correo electrónico carece de esta información o proporciona solo una dirección de correo electrónico genérica, tenga cuidado.

Mantenerse alerta e informarse sobre estas señales de alerta puede ser de gran ayuda para protegerse de los intentos de phishing. Si recibe un correo electrónico que genera sospechas, es mejor verificar su legitimidad a través de canales oficiales antes de tomar cualquier medida.