Campaña de Malware DarkGate: Abuso Creativo de Samba
Los investigadores en ciberseguridad han expuesto una reciente campaña de malware, de corta duración, que utilizaba los recursos de compartición de archivos de Samba para iniciar infecciones. Según Palo Alto Networks Unit 42, esta actividad tuvo lugar durante los meses de marzo y abril de 2024. Las cadenas de infección aprovechaban servidores con archivos de Visual Basic Script (VBS) y JavaScript alojados en comparticiones públicas de Samba. Los objetivos estaban en Norteamérica, Europa y partes de Asia.
“La creatividad de los actores de amenazas para abusar de herramientas y servicios legítimos en la distribución de su malware es notable”, argumentaron los investigadores Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan de Unit 42.
Evolución de DarkGate
DarkGate, detectado por primera vez en 2018, ha evolucionado a lo largo del tiempo hasta convertirse en un servicio de malware (MaaS) controlado por un número limitado de clientes. Sus capacidades incluyen el control remoto de hosts comprometidos, ejecución de códigos, minería de criptomonedas, lanzamiento de shells inversos y despliegue de cargas adicionales.
Recientemente, los ataques con DarkGate han aumentado tras la intervención multinacional que desmanteló la infraestructura de QakBot en agosto de 2023. Esta tendencia subraya la dinámica y la adaptabilidad de las amenazas cibernéticas actuales.
Método de Infección
El método documentado por Unit 42 comienza con archivos Excel (.xlsx) que instan a los usuarios a hacer clic en un botón incrustado, lo que provoca la ejecución de código VBS alojado en una compartición de Samba. Este script VBS luego descarga y ejecuta un script de PowerShell, que se utiliza para bajar un paquete de DarkGate basado en AutoHotKey.
Además, se identificó un vector de ataque alternativo que en lugar de utilizar VBS, empleaba archivos JavaScript para lograr la misma finalidad: ejecutar el script de PowerShell subsiguiente y propagar la infección.
Técnicas de Evasión
DarkGate mostró su capacidad para detectar y evitar análisis al escanear diversos programas anti-malware y verificar la información del CPU para determinar si estaba operando en un entorno físico o virtual. También analizaba los procesos en ejecución en el host para identificar herramientas de ingeniería inversa, depuradores o software de virtualización.
El tráfico C2 de DarkGate utiliza solicitudes HTTP no cifradas, aunque los datos están ofuscados y aparecen como texto codificado en Base64.
Conclusión
La continua evolución y sofisticación de DarkGate destaca la necesidad imperiosa de contar con defensas de ciberseguridad robustas y proactivas. Es fundamental mantenerse al tanto de las metodologías y herramientas emergentes que los actores de amenazas emplean para evitar la detección y maximizar sus impactos adversos.
Para mayor información y detalles técnicos sobre esta campaña, le sugerimos leer el informe completo de Unit 42 disponible aquí.
Temas Relacionados:
- Ataque Cibernético
- Defensa Cibernética
- Amenaza Cibernética
- Ciberseguridad
- Forense Digital
- Seguridad IT
- Malware
- Seguridad de Red
- Inteligencia de Amenazas
Para más contenidos relevantes e informativos sobre ciberseguridad, siga The Hacker News en su plataforma de preferencia.