Pesquisadores de segurança cibernética lançaram luz sobre uma campanha de malware DarkGate de curta duração que utilizou compartilhamentos de arquivos Samba para iniciar as infecções.
A Unidade 42 da Palo Alto Networks disse que a atividade abrangeu os meses de março e abril de 2024, com as cadeias de infecção usando servidores executando compartilhamentos de arquivos Samba voltados ao público hospedando arquivos Visible Fundamental Script (VBS) e JavaScript. Os alvos incluíam América do Norte, Europa e partes da Ásia.
“Esta foi uma campanha de duração relativamente curta que ilustra como os agentes de ameaças podem abusar criativamente de ferramentas e serviços legítimos para distribuir seu malware”, disseram os pesquisadores de segurança Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh e Brad Duncan.
O DarkGate, que surgiu pela primeira vez em 2018, evoluiu para uma oferta de malware como serviço (MaaS) usada por um número rigidamente controlado de clientes. Ele vem com capacidades para controlar remotamente hosts comprometidos, executar código, minerar criptomoeda, lançar shells reversos e lançar payloads adicionais.
Ataques envolvendo malware aumentaram especialmente nos últimos meses após a derrubada da infraestrutura QakBot por autoridades policiais multinacionais em agosto de 2023.
A campanha documentada pela Unidade 42 começa com arquivos do Microsoft Excel (.xlsx) que, quando abertos, incitam os alvos a clicar em um botão Abrir incorporado, que, por sua vez, busca e executa o código VBS hospedado em um compartilhamento de arquivos Samba.
O script do PowerShell é configurado para recuperar e executar um script do PowerShell, que é então usado para baixar um pacote DarkGate baseado em AutoHotKey.
Sequências alternativas que usam arquivos JavaScript em vez de VBS não são diferentes, pois também são projetadas para baixar e executar o script PowerShell de acompanhamento.
O DarkGate funciona escaneando vários programas anti-malware e verificando as informações da CPU para determinar se está sendo executado em um host físico ou em um ambiente digital, permitindo assim que ele atrapalhe a análise. Ele também examina os processos em execução do host para determinar a presença de ferramentas de engenharia reversa, depuradores ou software program de virtualização.
“O tráfego DarkGate C2 usa solicitações HTTP não criptografadas, mas os dados são ofuscados e aparecem como texto codificado em Base64”, disseram os pesquisadores.
“À medida que o DarkGate continua a evoluir e refinar seus métodos de infiltração e resistência à análise, ele continua sendo um poderoso lembrete da necessidade de defesas de segurança cibernética robustas e proativas.”
