12 de julio de 2024Sala de prensaMalware / Ataque cibernético Los investigadores de ciberseguridad han arrojado luz sobre una campaña de malware DarkGate de corta duración que aprovechó los recursos compartidos de archivos Samba para iniciar las infecciones. La Unidad 42 de Palo Alto Networks dijo que la actividad abarcó los meses de marzo y abril de 2024, y que las cadenas de infección utilizaron servidores que ejecutaban recursos compartidos de archivos Samba de cara al público que alojaban archivos Visual Basic Script (VBS) y JavaScript. Los objetivos incluían América del Norte, Europa y partes de Asia. «Esta fue una campaña relativamente de corta duración que ilustra cómo los actores de amenazas pueden abusar creativamente de herramientas y servicios legítimos para distribuir su malware», dijeron los investigadores de seguridad Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh y Brad Duncan. DarkGate, que surgió por primera vez en 2018, se ha convertido en una oferta de malware como servicio (MaaS) utilizada por un número estrictamente controlado de clientes. Viene con capacidades para controlar de forma remota los hosts comprometidos, ejecutar código, extraer criptomonedas, lanzar shells inversos y soltar cargas útiles adicionales. Los ataques que involucran al malware han sido particularmente testigos de un aumento en los últimos meses a raíz del derribo de la infraestructura QakBot por parte de las fuerzas del orden multinacionales en agosto de 2023. La campaña documentada por Unit 42 comienza con archivos de Microsoft Excel (.xlsx) que, cuando se abren, instan a los objetivos a hacer clic en un botón Abrir incrustado, que, a su vez, obtiene y ejecuta el código VBS alojado en un recurso compartido de archivos Samba. El script de PowerShell está configurado para recuperar y ejecutar un script de PowerShell, que luego se usa para descargar un paquete DarkGate basado en AutoHotKey. Las secuencias alternativas que usan archivos JavaScript en lugar de VBS no son diferentes, ya que también están diseñadas para descargar y ejecutar el script de PowerShell de seguimiento. DarkGate funciona escaneando varios programas anti-malware y verificando la información de la CPU para determinar si se está ejecutando en un host físico o en un entorno virtual, lo que le permite obstaculizar el análisis. También examina los procesos en ejecución del host para determinar la presencia de herramientas de ingeniería inversa, depuradores o software de virtualización. «El tráfico C2 de DarkGate utiliza solicitudes HTTP sin cifrar, pero los datos están ofuscados y aparecen como texto codificado en Base64», dijeron los investigadores. «A medida que DarkGate continúa evolucionando y refinando sus métodos de infiltración y resistencia al análisis, sigue siendo un potente recordatorio de la necesidad de defensas de ciberseguridad sólidas y proactivas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.