Rilevamento del Malware DarkGate: Gli Avversari Sfruttano i File di Microsoft Excel per Diffondere un Pacchetto Software Dannoso
Indice:
I difensori hanno osservato una campagna di malware DarkGate in cui gli avversari hanno sfruttato i file di Microsoft Excel per diffondere campioni dannosi da condivisioni di file SMB pubblicamente accessibili. DarkGate rappresenta una strain dannosa altamente adattabile, potenzialmente riempiendo il vuoto lasciato dallo smantellamento del famigerato QakBot alla fine dell’estate 2023.
Rileva Malware DarkGate
Gli attacchi informatici sono aumentati a livello globale nel 2024, con le organizzazioni che hanno sperimentato una media di 1.308 attacchi settimanali nel Q1. Questo segna un aumento del 28% rispetto al Q4 2023 e un incremento del 5% rispetto allo stesso periodo dell’anno scorso. Con la superficie di attacco in continua crescita e la continua sofisticazione dei metodi di infezione, il rilevamento proattivo di possibili intrusioni diviene un compito impegnativo.
Per rimanere al passo con le minacce emergenti e individuare gli attacchi nelle prime fasi di sviluppo, i professionisti della sicurezza possono fare affidamento su la suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento alimentata dall’intelligenza artificiale, la caccia alle minacce automatizzata e la convalida dello stack di rilevamento.
Premi il Pulsante Esplora Rilevamenti qui sotto per accedere allo stack di rilevamento curato mirato al rilevamento del malware DarkGate. Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con ampi metadati, inclusi riferimenti CTI, cronologie degli attacchi, raccomandazioni per il triage e altri dettagli rilevanti per semplificare l’indagine sulle minacce.
Analisi del Malware DarkGate
DarkGate è una famiglia di malware che è emersa nell’arena delle minacce informatiche nel 2018. Inizialmente, il malware operava con un’infrastruttura C2 avanzata, evolvendosi ulteriormente in un’offerta di malware-as-a-service (MaaS).
DarkGate è rimasto in sordina fino al 2021. I ricercatori di Palo Alto Networks Unit 42 hanno osservato un aumento prominente dell’attività di DarkGate a partire dall’inizio dell’autunno 2023, poco dopo la disgregazione e lo smantellamento di un’infrastruttura governativa multinazionale. Le campagne di DarkGate hanno abbandonato AutoIt per passare agli script AutoHotkey per diffondere il malware. All’inizio del 2024, DarkGate ha lanciato la sua sesta versione principale con capacità più sofisticate. QakBot infrastructure. DarkGate campaigns shifted away from AutoIt to AutoHotkey scripts to spread malware. At the turn of 2024, DarkGate launched its sixth major version with more sophisticated capabilties.
Da agosto 2023, i difensori hanno osservato una serie di campagne malevole che distribuiscono malware DarkGate tramite metodi diversi, tra cui ingannare le vittime facendole scaricare l’installer di DarkGate tramite link di Teams, abusare di email e allegati PDF armati con link a archivi ZIP dannosi, utilizzare il side-loading di DLL, sfruttare file HTML e sfruttare annunci nocivi progettati per diffondere malware.
Nella primavera del 2024, il team Unit 42 ha osservato una nuova campagna offensiva che arma Microsoft Excel e sfrutta server con condivisioni di file Samba aperte per ospitare file usati per diffondere il malware DarkGate. Inizialmente mirata agli Stati Uniti, la campagna si è gradualmente espansa in Europa e in alcune parti dell’Asia. La catena di infezione inizia cliccando un oggetto ipertestuale per il pulsante Apri nel file Excel, che recupera ed esegue il contenuto da un URL situato nell’archivio. Questo URL conduce a una condivisione pubblicamente accessibile Samba/SMB che ospita un file VBS. Con l’evolversi dell’attacco, gli avversari hanno anche iniziato a distribuire file JS dalle condivisioni Samba armate.
Notoriamente, gli script PowerShell usati durante il flusso di infezione tentano una tecnica di evasione delle rilevazioni per permettere agli avversari di rimanere sotto il radar. Il malware DarkGate controlla inoltre i dati della CPU e cerca altri programmi anti-malware sul sistema bersagliato. È capace di ostacolare i meccanismi di rilevamento e disabilitare il software anti-malware. Con l’avanzamento delle sue capacità , l’ultimo aggiornamento di DarkGate include una serie di nuovi controlli per bypassare i software anti-malware, come Windows Defender e SentinelOne.
I diversi vettori d’attacco di DarkGate e la sua evoluzione in un completo MaaS, il continuo avanzamento del suo toolkit offensivo e gli sforzi crescenti per bypassare i protocolli di sicurezza moderni sottolineano la necessità di rafforzare le difese proattive per prevenire le infezioni. Affidati a la Piattaforma di SOC Prime per la difesa informatica collettiva basata su intelligence globale delle minacce, crowdsourcing, zero-trust e AI per identificare tempestivamente le intrusioni e prevenire attacchi informatici nelle loro prime fasi.
