El malware DarkGate explota las comparticiones de archivos Samba en una campaña de corta duración

Luis Quiles

julio 12, 2024

Malware, Ataque cibernético

Investigadores de ciberseguridad han arrojado luz sobre una campaña de malware DarkGate de corta duración que aprovechó las comparticiones de archivos Samba para iniciar las infecciones.

Unit 42 de Palo Alto Networks informó que la actividad abarcó los meses de marzo y abril de 2024, con las cadenas de infección utilizando servidores que ejecutaban comparticiones de archivos Samba con acceso público, alojando archivos Visual Basic Script (VBS) y JavaScript. Los objetivos incluyeron América del Norte, Europa y partes de Asia.

«Esta fue una campaña relativamente breve que ilustra cómo los actores maliciosos pueden abusar creativamente de herramientas y servicios legítimos para distribuir su malware», dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan.

DarkGate, que surgió por primera vez en 2018, se ha convertido en una oferta de malware como servicio (MaaS) utilizada por un número controlado de clientes. Viene con capacidades para controlar remotamente los hosts comprometidos, ejecutar código, minar criptomonedas, lanzar shells inversos y desplegar cargas útiles adicionales.

Los ataques que involucran este malware han experimentado un aumento particular en los últimos meses tras el desmantelamiento de la infraestructura de QakBot por parte de la policía multinacional en agosto de 2023.

La campaña documentada por Unit 42 comienza con archivos de Microsoft Excel (.xlsx) que, al ser abiertos, instan a los objetivos a hacer clic en un botón incrustado de «Abrir», que a su vez recupera y ejecuta código VBS alojado en una compartición de archivos Samba.

El script de PowerShell está configurado para recuperar y ejecutar un script de PowerShell, que luego se utiliza para descargar un paquete de DarkGate basado en AutoHotKey.

Las secuencias alternativas que usan archivos JavaScript en lugar de VBS no son diferentes en el sentido de que también están diseñadas para descargar y ejecutar el script de PowerShell de seguimiento.

DarkGate funciona escaneando varios programas antimalware y verificando la información de la CPU para determinar si se está ejecutando en un host físico o en un entorno virtual, lo que le permite dificultar el análisis. También examina los procesos en ejecución del host para detectar la presencia de herramientas de ingeniería inversa, depuradores o software de virtualización.

«El tráfico de C2 de DarkGate utiliza solicitudes HTTP sin cifrar, pero los datos están ofuscados y aparecen como texto codificado en Base64», dijeron los investigadores.

«A medida que DarkGate continúa evolucionando y refinando sus métodos de infiltración y resistencia al análisis, sigue siendo un recordatorio potente de la necesidad de defensas de ciberseguridad robustas y proactivas».

Tags :