Detecção de Malware DarkGate: Adversários Exploram Arquivos Excel da Microsoft para Espalhar um Pacote de Software Nocivo
Índice:
Defensores têm observado uma campanha de malware DarkGate na qual os adversários têm se aproveitado de arquivos do Microsoft Excel para espalhar amostras maliciosas a partir de compartilhamentos de arquivos SMB acessíveis ao público. DarkGate representa uma cepa maliciosa altamente adaptável, potencialmente ocupando a lacuna deixada pelo desmantelamento do notório QakBot no final do verão de 2023.
Detectar Malware DarkGate
Os ataques cibernéticos aumentaram globalmente em 2024, com as organizações experimentando uma média de 1.308 ataques semanais no Q1. Isso representa um aumento de 28% em relação ao Q4 de 2023 e um aumento de 5% em comparação ao mesmo período do ano passado. Com a superfície de ataque cada vez maior e a sofisticação contínua dos métodos de infecção, a detecção proativa de possíveis intrusões torna-se uma tarefa desafiadora.
Para se manter à frente das ameaças em tendência e identificar ataques nos estágios mais iniciais de desenvolvimento, os profissionais de segurança podem contar com a suíte completa de produtos da SOC Prime para Engenharia de Detecção com IA, Caça a Ameaças Automatizada e Validação de Pilha de Detecção.
Clique no botão Explorar Detecção abaixo e acesse a pilha de detecção selecionada com foco na detecção de malware DarkGate. Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para o MITRE ATT&CK® framework. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo referências CTI, cronologias de ataques, recomendações de triagem e outros detalhes relevantes para agilizar a investigação das ameaças.
Análise de Malware DarkGate
DarkGate é uma família de malware que emergiu na arena das ameaças cibernéticas em 2018. Originalmente, o malware operava com uma infraestrutura avançada de C2, evoluindo ainda mais para uma oferta de malware como serviço (MaaS).
DarkGate permaneceu discreto até 2021. Pesquisadores da Palo Alto Networks Unit 42 observaram um aumento proeminente na atividade do DarkGate no início do outono de 2023, pouco depois da interrupção e desmantelamento multinacional do governo e da infraestrutura. As campanhas do DarkGate deslocaram-se do AutoIt para scripts AutoHotkey para espalhar malware. Na virada de 2024, o DarkGate lançou sua sexta versão principal com capacidades mais sofisticadas. QakBot infrastructure. DarkGate campaigns shifted away from AutoIt to AutoHotkey scripts to spread malware. At the turn of 2024, DarkGate launched its sixth major version with more sophisticated capabilties.
Desde agosto de 2023, os defensores têm observado uma série de campanhas maliciosas distribuindo o malware DarkGate por meio de diversos métodos, incluindo enganar as vítimas para baixar o instalador do DarkGate via links do Teams, abusando de anexos de e-mail e PDF armados com links para arquivos ZIP prejudiciais, usando carregamento lateral DLL, explorando arquivos HTML e aproveitando anúncios prejudiciais projetados para espalhar malware.
Na primavera de 2024, a equipe Unit 42 observou uma nova campanha ofensiva armando o Microsoft Excel e aproveitando servidores com compartilhamentos de arquivos Samba abertos para hospedar arquivos usados na disseminação do malware DarkGate. Inicialmente visando os EUA, a campanha expandiu-se gradualmente para a Europa e partes da Ásia. A cadeia de infecção começa clicando em um objeto hiperlinkado para o botão Abrir no arquivo Excel, que recupera e executa conteúdo de um URL localizado no arquivo. Este URL leva a um compartilhamento Samba/SMB publicamente acessível hospedando um arquivo VBS. Conforme o ataque progrediu, os adversários também começaram a distribuir arquivos JS dos compartilhamentos Samba armados.
Notavelmente, os scripts PowerShell usados ao longo do fluxo de infecção tentam uma técnica de evasão de detecção para permitir que os adversários permaneçam despercebidos. O malware DarkGate também verifica dados da CPU e escaneia outros programas antimalware no sistema alvo. Ele é capaz de dificultar os mecanismos de detecção e desabilitar o software antimalware. À medida que o DarkGate avança em suas capacidades, sua última atualização inclui um conjunto de novas verificações para contornar software antimalware, como o Windows Defender e o SentinelOne.
Os diversos vetores de ataque do DarkGate e sua evolução para um MaaS abrangente, o contínuo avanço de seu kit de ferramentas ofensivas e os esforços crescentes para contornar protocolos de segurança modernos destacam a necessidade de fortalecer as defesas proativas para prevenir infecções. Confie na Plataforma da SOC Prime para defesa cibernética coletiva baseada na inteligência de ameaças global, crowdsourcing, confiança zero e IA para identificar intrusões de forma oportuna e prevenir ataques cibernéticos em seus estágios mais iniciais.
