El malware DarkGate ataca Reino Unido, Estados Unidos e India
En los últimos acontecimientos, los expertos en ciberseguridad han descubierto una serie de ciberataques originados en Vietnam y dirigidos al sector del marketing digital en el Reino Unido, Estados Unidos y la India. Estos sofisticados ataques implican el uso de varias cepas de malwarecon el famoso ladrón de información DarkGate como protagonista. Profundicemos en los detalles del amenazas del malware DarkGate y comprendamos las estrategias empleadas por los atacantes.
El Equipo de Detección y Respuesta de la empresa de seguridad WithSecure ha estado atento al rastreo de múltiples grupos vietnamitas de ciberdelincuentes. vietnamitas que operan campañas de ingeniería social. Estas campañas, que tuvieron lugar en septiembre, estaban ingeniosamente diseñadas para engañar a profesionales del marketing. Los atacantes engañaban a sus víctimas para que descargaran archivos maliciosos disfrazados de atractivas descripciones de puestos de trabajo y detalles salariales.
Tácticas engañosas
Para hacer caer en su trampa a víctimas desprevenidas, estos ciberdelincuentes se aprovecharon de la confianza que la gente deposita en las oportunidades de empleo. Se hicieron pasar por empresas conocidas como Corsair, fabricante de memorias y hardware informático, y Groww, una compañía financiera india. Inventando ofertas de empleo falsas, conseguían convencer a los usuarios para que descargaran archivos aparentemente inofensivos. Por ejemplo, una estratagema consistía en un archivo malicioso llamado "Job
Description of Corsair.docx", mientras que otro se aprovechaba de las ofertas de trabajo de Groww en la India.
Arsenal de malware
Los grupos de ciberdelincuentes responsables de estos ataques parecen haber obtenido diversos programas maliciosos de robo de información en mercados de ciberdelincuentes. Utilizaron estas herramientas indistintamente, por lo que resulta difícil atribuir una campaña específica a un grupo concreto. El arsenal de malware incluía DarkGate, Ducktail, Lobshot y Redline, entre otros.
Retos de la atribución
A pesar de las diversas estrategias y programas informáticos utilizados en estos ataques, el hilo conductor que los une es su origen vietnamita. La atribución en el ámbito cibernético puede ser difícil, ya que los autores de las amenazas pueden utilizar diversas tecnologías para el mismo fin, creando al mismo tiempo nuevos objetivos, campañas y señuelos. En consecuencia, el seguimiento de sus actividades únicamente a través de las tecnologías que utilizan sólo proporciona una imagen limitada de su comportamiento.
Falta de sofisticación
En particular, los atacantes individuales o los grupos que estaban detrás de estas campañas no mostraban un alto nivel de sofisticación. Parecían tener un considerable apetito por el riesgo, ya que hacían pocos esfuerzos por ocultar sus actividades. Los investigadores de seguridad pudieron escudriñar fácilmente los metadatos contenidos en los archivos .lnk, .pdf y .msi utilizados en la campaña, revelando información sobre los creadores del código, los números de identificación de los discos duros y las fechas y ubicaciones de creación de los archivos.
El malware DarkGate
A principios de agosto, el equipo de vigilancia de WithSecure detectó a unos hackers vietnamitas que intentaban inyectar el ladrón de información DarkGate en un dispositivo Windows comprometido. Para llevar a cabo este nefasto plan, los hackers incitaron a sus víctimas a descargar un archivo comprimido llamado "Salary and new products.8.4.zip".
Dentro de este archivo aparentemente inofensivo, se escondía un script VBS malicioso, diseñado para ejecutar una herramienta de scripting AutoIT que, a su vez, ejecutaba el código del troyano de acceso remoto código troyano de acceso remoto DarkGate. Por lo tanto, la realización de un minucioso análisis del malware DarkGate es esencial para comprender su funcionalidad y sus amenazas potenciales.
La infame historia de DarkGate
DarkGate apareció por primera vez en el radar de los investigadores de seguridad en 2017, cuando los ciberdelincuentes lo utilizaron para diversas actividades maliciosas. Estas incluían keylogging, escalada de privilegios, minería de criptomonedas, robo de datos de navegadores web y servir como "dropper" para instalar malware adicional, incluyendo acceso remoto a software malicioso DarkGate.
DarkGate es famoso por su tamaño compacto y su capacidad para obtener permisos de alto nivel en sistemas comprometidos, al tiempo que ofusca las cargas útiles para evadir la detección antivirus. Eficaz detección de malware DarkGate es crucial para proteger sus activos digitales.
Disponibilidad generalizada
DarkGate sigue estando disponible y en uso. En un hecho desconcertante, un usuario ruso de un foro de ciberdelincuencia conocido como "RastaFarEye" anunciaba DarkGate en un foro de ciberdelincuencia. El malware tenía un precio de 100.000 dólares al año, 15.000 dólares al mes o 1.000 dólares al día, según informó la empresa de seguridad Zerofox. Después de esto, los investigadores de seguridad observaron un aumento significativo de las infecciones por DarkGate en América, Oriente Medio, Asia y África.
Phishing a través de Microsoft Teams
En septiembre, un grupo de ciberdelincuentes aprovechó mensajes de chat de ingeniería social con temática de RRHH en Microsoft Teams para distribuir el malware DarkGate. Estos atacantes comprometieron cuentas de Office 365 para enviar mensajes de phishing que contenían un archivo alojado en SharePoint llamado "Changes to the vacation schedule.zip".
Engaño inteligente
Otra táctica ingeniosa utilizada por los atacantes implicaba una cuenta de Skype comprometida. Transmitieron el malware DarkGate a través de un script VBS engañoso llamado "filename.pdf". Los destinatarios, bajo la impresión de que estaban descargando un archivo PDF legítimo, permitían involuntariamente la entrada del malware en sus sistemas.
LinkedIn como arma
En las campañas asociadas a los atacantes vietnamitas, LinkedIn sirvió de plataforma para distribuir archivos maliciosos archivos .zip maliciosos a las víctimas a través de mensajes directos. Uno de estos mensajes dirigía a las víctimas a una URL, hxxps://g2.by/jd-Corsair, que, al ser visitada, redirigía a un archivo malicioso alojado en Google Drive.
Una amenaza polifacética
Como subraya Stephen Robinson, analista sénior de inteligencia sobre amenazas de WithSecure, la longevidad y versatilidad de DarkGate son alarmantes. Sigue siendo utilizado por diversos grupos con distintos fines, que se extienden más allá de los confines de los atacantes vietnamitas. Esta naturaleza polifacética subraya el reto que supone evaluar el alcance completo de las ciberactividades basándose únicamente en el malware utilizado.
La intrigante funcionalidad de Ducktail
En otro incidente ocurrido en julio, el mismo grupo de atacantes infectó los dispositivos de particulares y empleados que tenían acceso a cuentas de Facebook Business utilizando el ladrón de información Ducktail. En particular, Ducktail incluye una función adicional dirigida a las cuentas de Facebook Business. Si localiza una cookie de sesión de una cuenta de Facebook Business, intenta añadir al atacante como administrador. Esta funcionalidad subraya la naturaleza altamente automatizada del malware contemporáneo.
Conclusión
El malware DarkGate y sus grupos de ciberdelincuentes asociados siguen representando una importante amenaza a escala mundial. Aunque estos atacantes pueden carecer de sofisticación en sus métodos, su descaro y adaptabilidad los convierten en adversarios formidables. Mantenerse alerta, protegerse contra el malware DarkGatee invertir en medidas sólidas de ciberseguridad siguen siendo cruciales para salvaguardar los activos digitales frente a esta amenaza en evolución.
Las fuentes de este artículo incluyen artículos en The Hacker News y GOVInfoSecurity.