Ataques cibernéticos envolvendo DarkGate A operação de malware como serviço (MaaS) mudou dos scripts AutoIt para um mecanismo AutoHotkey para entregar os últimos estágios, ressaltando os esforços contínuos por parte dos atores da ameaça para permanecer continuamente à frente da curva de detecção.
As atualizações foram observadas na versão 6 do DarkGate lançada em março de 2024 por seu desenvolvedor RastaFarEye, que vende o programa por assinatura para até 30 clientes. O malware está ativo pelo menos desde 2018.
Um trojan de acesso remoto (RAT) completo, o DarkGate é equipado com recursos de comando e controle (C2) e rootkit e incorpora vários módulos para roubo de credenciais, keylogging, captura de tela e área de trabalho remota.
“As campanhas DarkGate tendem a se adaptar muito rapidamente, modificando diferentes componentes para tentar ficar longe das soluções de segurança”, disse Ernesto Fernández Provecho, pesquisador de segurança da Trellix, em uma análise na segunda-feira. “Esta é a primeira vez que encontramos o DarkGate usando o AutoHotKey, um interpretador de script não tão comum, para iniciar o DarkGate.”
É importante notar que a mudança do DarkGate para AutoHotKey foi documentada pela primeira vez pelo McAfee Labs no last de abril de 2024, com cadeias de ataque aproveitando falhas de segurança como CVE-2023-36025 e CVE-2024-21412 para contornar as proteções do Microsoft Defender SmartScreen usando um Microsoft Excel ou um Anexo HTML em e-mails de phishing.
Métodos alternativos foram encontrados para aproveitar arquivos do Excel com macros incorporadas como um canal para executar um arquivo de script Visible Primary responsável por invocar comandos do PowerShell para iniciar um script AutoHotKey, que, por sua vez, recupera e decodifica a carga útil do DarkGate de um arquivo de texto .
A versão mais recente do DarkGate traz atualizações substanciais em sua configuração, técnicas de evasão e lista de comandos suportados, que agora inclui gravação de áudio, controle de mouse e recursos de gerenciamento de teclado.
“A versão 6 não inclui apenas novos comandos, mas também carece de alguns deles das versões anteriores, como o escalonamento de privilégios, a criptomineração ou os hVNC (Hidden Digital Community Computing)”, disse Fernández Provecho, acrescentando que pode ser um esforço para cortar recursos que possam permitir a detecção.
“Além disso, como o DarkGate é vendido para um pequeno grupo de pessoas, também é possível que os clientes não estivessem interessados nesses recursos, forçando o RastaFarEye a removê-los.”
A divulgação ocorre no momento em que criminosos cibernéticos abusam do Docusign vendendo modelos de phishing personalizáveis de aparência legítima em fóruns clandestinos, transformando o serviço em um terreno fértil para phishers que buscam roubar credenciais para golpes de phishing e comprometimento de e-mail comercial (BEC).
“Esses e-mails fraudulentos, meticulosamente projetados para imitar solicitações legítimas de assinatura de documentos, induzem destinatários desavisados a clicar em hyperlinks maliciosos ou a divulgar informações confidenciais”, disse a Irregular Safety.
