Detección de Malware DarkGate: Adversarios Explotan Archivos de Microsoft Excel para Distribuir un Paquete de Software Malicioso
Tabla de contenidos:
Los defensores han estado observando una campaña de malware de DarkGate en la que los adversarios han aprovechado los archivos de Microsoft Excel para distribuir muestras maliciosas desde recursos de archivo SMB accesibles públicamente. DarkGate representa una cepa maliciosa altamente adaptable, potencialmente ocupando el vacÃo dejado por el desmantelamiento del notorio QakBot a finales del verano de 2023.
Detectar Malware DarkGate
Los ciberataques aumentaron globalmente en 2024, con organizaciones experimentando un promedio de 1,308 ataques semanales en el primer trimestre. Esto marca un aumento del 28% con respecto al cuarto trimestre de 2023 y un aumento del 5% en comparación con el mismo perÃodo del año pasado. Con la superficie de ataque en constante crecimiento y la continua sofisticación de los métodos de infección, la detección proactiva de posibles intrusiones se convierte en una tarea desafiante.
Para mantenerse al tanto de las amenazas emergentes y detectar ataques en las primeras etapas de desarrollo, los profesionales de la seguridad pueden confiar en la suite de productos completa de SOC Prime para IngenierÃa de Detección impulsada por IA, Caza de Amenazas Automatizada, y Validación de Pilas de Detección.
Presiona el botón Explorar Detección a continuación y accede a la pila de detección curada dirigida a la detección de malware DarkGate. Todas las reglas son compatibles con más de 30 tecnologÃas SIEM, EDR y Data Lake y están mapeadas con el marco MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, incluidas referencias CTI, cronogramas de ataques, recomendaciones de triaje y otros detalles relevantes para agilizar la investigación de amenazas.Â
Análisis de Malware DarkGate
DarkGate es una familia de malware que emergió en la escena de amenazas cibernéticas en 2018. Originalmente, el malware funcionaba con una infraestructura C2 avanzada, evolucionando posteriormente en una oferta de malware-como-servicio (MaaS).
DarkGate permaneció en bajo perfil hasta 2021. Investigadores de Palo Alto Networks Unit 42 observaron un aumento prominente en la actividad de DarkGate comenzando a principios del otoño de 2023, poco después de la disrupción y desmantelamiento del gobierno multinacional de la QakBot infraestructura. Las campañas de DarkGate se alejaron de AutoIt a scripts de AutoHotkey para propagar el malware. Al comienzo de 2024, DarkGate lanzó su sexta versión principal con capacidades más sofisticadas.
Desde agosto de 2023, los defensores han estado observando una serie de campañas maliciosas distribuyendo malware DarkGate mediante diversos métodos, incluyendo engañar a las vÃctimas para descargar el instalador de DarkGate a través de enlaces de Teams, abusar de correos electrónicos y archivos adjuntos PDF armados con enlaces a archivos ZIP dañinos, usar carga adicional de DLL, explotar archivos HTML y aprovechar anuncios dañinos diseñados para propagar malware.
En la primavera de 2024, el equipo de Unit 42 observó una nueva campaña ofensiva armando Microsoft Excel y aprovechando servidores con recursos de archivo Samba abiertos para alojar archivos utilizados para propagar el malware DarkGate. Inicialmente dirigido a EE.UU., la campaña se expandió gradualmente a Europa y partes de Asia. La cadena de infección comienza haciendo clic en un objeto hipervinculado para el botón Abrir en el archivo de Excel, el cual recupera y ejecuta contenido desde una URL ubicada en el archivo. Esta URL conduce a un recurso Samba/SMB accesible públicamente que aloja un archivo VBS. A medida que el ataque avanzaba, los adversarios también comenzaron a distribuir archivos JS desde los recursos de Samba armados.
Es notable que los scripts de PowerShell utilizados a lo largo del flujo de infección intentan una técnica de evasión de detección para permitir que los adversarios permanezcan fuera del radar. El malware DarkGate también verifica datos de la CPU y escanea otros programas antimalware en el sistema objetivo. Es capaz de obstaculizar mecanismos de detección y deshabilitar software antimalware. A medida que DarkGate avanza en sus capacidades, su última actualización incluye un conjunto de nuevas verificaciones para eludir software antimalware, como Windows Defender y SentinelOne.
Los diversos vectores de ataque de DarkGate y su evolución en un MaaS integral, el continuo avance de su conjunto de herramientas ofensivas y los crecientes esfuerzos para superar los protocolos de seguridad modernos destacan la necesidad de fortalecer las defensas proactivas para prevenir infecciones. ConfÃe en la Plataforma de SOC Prime para defensa cibernética colectiva basada en inteligencia de amenazas global, crowdsourcing, confianza cero e IA para identificar intrusiones a tiempo y prevenir ciberataques en sus primeras etapas.
