En una maniobra reciente y significativa, el malware DarkGate ha dejado atrás los scripts de AutoIt, adoptando en su lugar el uso de AutoHotkey para las etapas finales de sus ataques. Este cambio, identificado en la versión 6 de DarkGate lanzada en marzo de 2024 por el desarrollador conocido como RastaFarEye, muestra los esfuerzos constantes de los cibercriminales por mantenerse un paso adelante de las soluciones de seguridad.
Innovación en la Entrega de Malware
DarkGate, activo desde al menos 2018, es un sofisticado troyano de acceso remoto (RAT) que ofrece capacidades de comando y control (C2) y funciones de rootkit. Está diseñado con módulos para el robo de credenciales, keylogging, captura de pantalla y control remoto de escritorio. Recientemente, investigadores de McAfee Labs documentaron el uso de AutoHotkey por parte de DarkGate en abril de 2024, una estrategia que utiliza vulnerabilidades como CVE-2023-36025 y CVE-2024-21412 para evadir las protecciones de Microsoft Defender SmartScreen a través de archivos adjuntos en correos de phishing.
Técnicas de Infección
Las campañas de DarkGate utilizan métodos variados para infectar sistemas. Un enfoque reciente implica el uso de archivos de Excel con macros integradas que ejecutan scripts de Visual Basic, los cuales luego invocan comandos de PowerShell para lanzar un script de AutoHotkey. Este script descarga y decodifica la carga útil de DarkGate desde un archivo de texto, eludiendo así las defensas tradicionales de ciberseguridad.
Mejoras en la Versión 6
La versión 6 de DarkGate no solo incluye nuevas funcionalidades, sino que también ha eliminado algunas características de versiones anteriores para reducir la posibilidad de detección. Entre las nuevas capacidades se encuentran la grabación de audio, el control del ratón y la gestión del teclado. Sin embargo, funciones como la escalada de privilegios, la criptominería y el HVNC (Computación Virtual de Red Oculta) han sido removidas. Ernesto Fernández Provecho, investigador de seguridad de Trellix, sugiere que estas modificaciones pueden ser una respuesta a las demandas específicas de los clientes que adquieren DarkGate.
Contexto Ampliado
Además de las actualizaciones en DarkGate, se ha observado un aumento en el abuso de servicios legítimos como Docusign, con cibercriminales vendiendo plantillas de phishing personalizables en foros clandestinos. Estas plantillas, diseñadas para imitar solicitudes legítimas de firma de documentos, buscan engañar a los destinatarios para que hagan clic en enlaces maliciosos o revelen información sensible.
Conclusión
La constante evolución de DarkGate subraya la naturaleza dinámica de las amenazas cibernéticas actuales. Para las organizaciones, es crucial mantenerse al tanto de estas tácticas avanzadas y actualizar continuamente sus estrategias de defensa. La colaboración entre investigadores de seguridad y la implementación de medidas proactivas son esenciales para mitigar los riesgos asociados con malware sofisticado como DarkGate.