Detección de Ataque de Malware DarkGate: Phishing de Voz a través de Microsoft Teams Conduce a la Distribución de Malware
Tabla de contenidos:
Investigadores han descubierto una nueva campaña maliciosa utilizando la suplantación de voz (vishing) para propagar el malware DarkGate. En este ataque, los adversarios se hicieron pasar por el cliente conocido en una llamada de Microsoft Teams, engañando a las víctimas para que descargaran AnyDesk para acceso remoto y desplegando más malware.
Detectar Ataques de Malware DarkGate
A principios del verano de 2024, la técnica de vishing fue utilizada en ciberataques seguidos de la distribución de herramientas ofensivas, incluyendo utilidades remotas. En diciembre, actores de amenaza una vez más se aprovechan de la suplantación a través del vishing dirigido a la infección por malware DarkGate. La Plataforma SOC Prime para la defensa cibernética colectiva equipa a los equipos de seguridad con tecnologías y soluciones de vanguardia para superar las amenazas cibernéticas, sin importar su escala y sofisticación.
Presione Explorar Detecciones para profundizar en la colección completa de reglas Sigma para la detección de malware DarkGate. Obtenga información de CTI accionable, alineación con MITRE ATT&CK, y capacidades automatizadas para convertir el código de detección en el formato de lenguaje de consulta requerido que coincide con más de 30 plataformas de análisis de seguridad.
Análisis del Malware DarkGate: Ataques de Vishing
Los investigadores de Trend Micro investigaron un incidente de ciberseguridad en el que los adversarios aplicaron vishing a través de una llamada de Microsoft Teams para disfrazarse como el cliente de los usuarios y obtener acceso remoto al sistema objetivo. Los atacantes también atrajeron a las posibles víctimas a descargar el software de escritorio remoto AnyDesk, que fue explotado luego para desplegar el malware DarkGate. Entregado a través de un script AutoIt, DarkGate facilitó obtener control remoto del sistema, ejecutar comandos ofensivos, recopilar datos del sistema y conectarse a un servidor C2.
En la etapa inicial del ataque, los hackers aprovecharon la ingeniería social para obtener acceso al sistema. La víctima primero recibió miles de correos electrónicos, seguidos de una llamada de Microsoft Teams de alguien disfrazado de proveedor externo. Los adversarios no lograron engañar a los usuarios objetivos para que instalaran una app de soporte remoto de Microsoft, pero lograron instruirlos exitosamente para descargar AnyDesk a través de un navegador e ingresar sus credenciales.
Después de instalar AnyDesk, los atacantes pudieron operar con privilegios elevados dentro del sistema comprometido y dejaron caer varios archivos sospechosos, incluido el payload Trojan.AutoIt.DARKGATE.D. El script de carga útil AutoIt encriptado .a3x se desencriptó él mismo en memoria como un código shell y se inyectó en procesos legítimos, como MicrosoftEdgeUpdateCore.exe. Este proceso sirvió como un proxy para cargar y ejecutar el script A3x de DarkGate, que luego facilitó la carga de muestras maliciosas adicionales para las siguientes etapas del ataque.
Los adversarios también crearon archivos ocultos y una entrada en el registro en la máquina de la víctima para establecer persistencia y eludir la detección. También emplearon la carga lateral de DLL para permanecer bajo el radar. A pesar de los esfuerzos ofensivos, el ataque fue detenido antes de que los adversarios pudieran alcanzar sus objetivos, sin evidencia de exfiltración de datos.
Como medidas recomendadas de mitigación del malware DarkGate, se anima a los equipos a verificar cuidadosamente a los proveedores de soporte técnico de terceros y verificar cualquier afiliación de proveedor antes de otorgar acceso remoto a los sistemas, establecer procesos de verificación de la nube para evaluar la seguridad y reputación de las herramientas de acceso remoto, incluir en lista blanca las herramientas aprobadas, bloquear las sospechosas e implementar MFA para capas adicionales de protección de seguridad.
El flujo de ataque de malware DarkGate de múltiples etapas resalta la importancia de medidas de seguridad sólidas y una mayor vigilancia cibernética contra ataques de ingeniería social. Para abordar la creciente frecuencia y variedad de campañas maliciosas utilizando vishing y otras técnicas de adversarios, las empresas pueden confiar en la suite completa de productos de SOC Prime para la ingeniería de detección impulsada por IA, la búsqueda automatizada de amenazas y la detección avanzada de amenazas mientras se asegura una defensa cibernética de clase mundial.
