DarkGate Malware: Transición a AutoHotkey en Ataques Recientes

En una maniobra reciente y significativa, el malware DarkGate ha dejado atrás los scripts de AutoIt, adoptando en su lugar el uso de AutoHotkey para las etapas finales de sus ataques. Este cambio, identificado en la versión 6 de DarkGate lanzada en marzo de 2024 por el desarrollador conocido como RastaFarEye, muestra los esfuerzos constantes de los cibercriminales por mantenerse un paso adelante de las soluciones de seguridad.

 

Innovación en la Entrega de Malware

DarkGate, activo desde al menos 2018, es un sofisticado troyano de acceso remoto (RAT) que ofrece capacidades de comando y control (C2) y funciones de rootkit. Está diseñado con módulos para el robo de credenciales, keylogging, captura de pantalla y control remoto de escritorio. Recientemente, investigadores de McAfee Labs documentaron el uso de AutoHotkey por parte de DarkGate en abril de 2024, una estrategia que utiliza vulnerabilidades como CVE-2023-36025 y CVE-2024-21412 para evadir las protecciones de Microsoft Defender SmartScreen a través de archivos adjuntos en correos de phishing.

Técnicas de Infección

Las campañas de DarkGate utilizan métodos variados para infectar sistemas. Un enfoque reciente implica el uso de archivos de Excel con macros integradas que ejecutan scripts de Visual Basic, los cuales luego invocan comandos de PowerShell para lanzar un script de AutoHotkey. Este script descarga y decodifica la carga útil de DarkGate desde un archivo de texto, eludiendo así las defensas tradicionales de ciberseguridad.

 

Mejoras en la Versión 6

La versión 6 de DarkGate no solo incluye nuevas funcionalidades, sino que también ha eliminado algunas características de versiones anteriores para reducir la posibilidad de detección. Entre las nuevas capacidades se encuentran la grabación de audio, el control del ratón y la gestión del teclado. Sin embargo, funciones como la escalada de privilegios, la criptominería y el HVNC (Computación Virtual de Red Oculta) han sido removidas. Ernesto Fernández Provecho, investigador de seguridad de Trellix, sugiere que estas modificaciones pueden ser una respuesta a las demandas específicas de los clientes que adquieren DarkGate.

 

Contexto Ampliado

Además de las actualizaciones en DarkGate, se ha observado un aumento en el abuso de servicios legítimos como Docusign, con cibercriminales vendiendo plantillas de phishing personalizables en foros clandestinos. Estas plantillas, diseñadas para imitar solicitudes legítimas de firma de documentos, buscan engañar a los destinatarios para que hagan clic en enlaces maliciosos o revelen información sensible.

 

Conclusión

La constante evolución de DarkGate subraya la naturaleza dinámica de las amenazas cibernéticas actuales. Para las organizaciones, es crucial mantenerse al tanto de estas tácticas avanzadas y actualizar continuamente sus estrategias de defensa. La colaboración entre investigadores de seguridad y la implementación de medidas proactivas son esenciales para mitigar los riesgos asociados con malware sofisticado como DarkGate.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.