.
A família de malware DarkGate se tornou mais prevalente nos últimos meses depois que um de seus principais concorrentes foi derrubado pelo FBI.
O malware foi descoberto pelo especialista em segurança da empresa de segurança de endpoint enSilo, Adi Zeligson, em 2018, mas evoluiu ao longo dos anos. A versão mais recente, detectada pela Spamhaus no final de janeiro, adicionou novos recursos.
O software desagradável, cujo desenvolvedor atende pelo apelido RastaFarEye, pode ser usado para tudo, desde keylogging, até roubo de dados e credenciais, e até mesmo acesso remoto – que pode então ser usado para implantar ransomware. As infecções DarkGate dão aos usuários controle completo sobre os computadores.
O código também contém vários recursos de evasão.
Os vetores de infecção também são abundantes: infecções foram detectadas como resultado de engenharia social e e-mails de phishing, além de sideload de DLL, conteúdo envenenado em serviços de compartilhamento de arquivos acessíveis ao público e sites comprometidos.
O malware, portanto, se tornou popular entre as equipes de crimes cibernéticos – e ainda mais nos últimos meses.
“O DarkGate é um que tem sido grande desde setembro do ano passado”, disse Daniel Blackford, diretor de pesquisa de ameaças da Proofpoint. O registro.
A equipe de caça a ameaças de Blackford detectou recentemente uma gangue que rastreia como TA571 usando o DarkGate para obter acesso a mais de 1.000 organizações.
Mais de 14 mil campanhas usando DarkGate
A Proofpoint documentou 14.000 campanhas nas quais o TA571 usou o DarkGate para obter acesso, depois roubar credenciais e dados valiosos, implantar ransomware e depois vender esse acesso às redes das vítimas. Esses ataques também continham mais de 1.300 variantes diferentes de malware, nos disseram.
A flexibilidade do DarkGate e os muitos vetores de infecção tornam a atribuição mais difícil para os defensores da rede.
“Se você tem nove conjuntos de atividades diferentes usando o DarkGate, que é algo que já vimos uma vez, como você sabe? Você tem a telemetria disponível para, com alta confiança, diferenciar esses conjuntos de atividades? É muito difícil sem uma boa coleta”, disse Blackford.
A equipe de segurança da Unidade 42 da Palo Alto Networks também observou um aumento no uso do DarkGate desde setembro de 2023.
A queda do QBot dá origem ao DarkGate
O momento desse aumento, de acordo com ambas as empresas de segurança, não é uma coincidência. Ele coincidiu com o esforço de aplicação da lei liderado pelo FBI para interromper o QBot (também conhecido como Qakbot) e a infraestrutura daquele notório botnet e carregador de malware em agosto de 2023.
“Após a queda do QBot, vimos o ator principal que estava distribuindo o QBot mudar para o DarkGate, e então vários outros atores seguiram o exemplo”, disse Blackford. “Você tem esse padrão de seguir o líder.”
Desde agosto passado, a Unidade 42 também relatou ter visto diversas campanhas distribuindo DarkGate, que a unidade de inteligência de ameaças diz que também anuncia computação de rede virtual oculta, criptomineração e controle remoto de shell reverso entre seus recursos maliciosos.
Em um relatório de 10 de julho, a Palo Alto detalhou uma campanha que começou em março e usou arquivos do Microsoft Excel como ponto de partida. Esses arquivos continham uma URL que direcionava as vítimas para um compartilhamento de arquivos Samba/SMB público com o objetivo de enganar as vítimas para que baixassem o DarkGate em seus dispositivos.
Os ataques “principalmente tiveram como alvo a América do Norte no início, mas lentamente se espalharam para a Europa e também para partes da Ásia”, de acordo com Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh e Brad Duncan da Unidade 42. “Nossa telemetria indica alguns picos de atividade, com destaque para 9 de abril de 2024, com quase 2.000 amostras naquele único dia.”
O relatório da Unidade 42 também encontrou evidências de que “parece ter havido exfiltração de dados em cinco solicitações HTTP POST, enviando quase 218 KB de dados”.
Perícia em evasão
O DarkGate também usa várias técnicas de evasão para evitar ser detectado. Isso inclui criptografia, ofuscação de código e várias varreduras do ambiente alvo, incluindo a verificação da CPU do alvo para determinar se ele está sendo executado em uma máquina virtual ou física, assim “permitindo que o DarkGate cesse as operações para evitar ser analisado em um ambiente controlado”, escreveu a equipe da Unidade 42.
Eles também listam 26 produtos antimalware que o DarkGate verifica para ver se estão operando na máquina alvo, incluindo o Windows Defender e o SentinelOne.
“Com seus vetores de ataque multifacetados e evolução para uma oferta MaaS completa, o DarkGate demonstra um alto nível de complexidade e persistência”, de acordo com a empresa de segurança.
O registro sugere ler a análise na íntegra. Ela tem ótimos detalhes técnicos e uma longa lista de indicadores de comprometimento que podem ser úteis na caça de ameaças na sua rede.
Também vale ressaltar que o DarkGate e outras campanhas de malware continuam usando e-mails de phishing e enviando arquivos maliciosos porque essas técnicas funcionam.
Portanto, além de implementar uma abordagem em camadas para a segurança — isso inclui ferramentas que bloqueiam mensagens maliciosas antes que elas cheguem às caixas de entrada dos usuários, mas também detectam ameaças após a entrega — a prevenção desses tipos de ataques requer treinamento de funcionários sobre como identificar e-mails e páginas de login falsos. ®
.
