Os ciberataques que utilizam a operação de malware como serviço (MaaS) DarkGate passaram a usar um mecanismo AutoHotkey em vez dos scripts AutoIt para entregar as etapas finais, destacando os esforços contínuos dos atores de ameaças para se manterem sempre um passo à frente na detecção.
As mudanças foram notadas na sexta versão do DarkGate, lançada em março de 2024 pelo seu criador, RastaFarEye, que comercializa o programa por assinatura para um máximo de 30 clientes. O malware está em atividade desde pelo menos 2018.
DarkGate
O DarkGate, um trojan de acesso remoto (RAT) completo, vem com recursos de comando e controle (C2) e rootkit, além de incorporar diversos módulos para roubo de credenciais, registro de teclas, captura de tela e controle remoto de desktop.
DarkGate, documentado pela primeira vez pela Fortinet em novembro de 2018, é um malware comum que incorpora uma ampla gama de recursos para coletar dados confidenciais de navegadores da web, realizar mineração de criptomoedas e permitir que seus operadores controlem remotamente os hosts infectados. Ele também funciona como um downloader de cargas adicionais, como Remcos RAT.
O aumento segue a decisão do autor do malware de anunciar o malware em fóruns clandestinos e alugá-lo como malware como serviço para outros atores de ameaças, após anos de uso privado.
O uso da mensagem de bate-papo do Microsoft Teams como vetor de propagação do DarkGate foi destacado anteriormente pela Truesec no início do mês passado, indicando que provavelmente está sendo utilizado por vários atores de ameaças.
“As campanhas DarkGate têm a tendência de se adaptar com grande rapidez, alterando diferentes componentes para tentar evitar as soluções de segurança”, afirmou Ernesto Fernández Provecho, pesquisador de segurança da Trellix, em uma análise realizada na segunda-feira. “Esta é a primeira ocasião em que vemos o DarkGate utilizando o AutoHotKey, um interpretador de script não muito comum, para iniciar o DarkGate.”
Vale ressaltar que a transição do DarkGate para o AutoHotKey foi documentada pela primeira vez pelo McAfee Labs no final de abril de 2024. As cadeias de ataque exploraram vulnerabilidades de segurança como CVE-2023-36025 e CVE-2024-21412 para burlar as proteções do Microsoft Defender SmartScreen, utilizando um Microsoft Excel ou um anexo HTML em e-mails de phishing.
Foram descobertos métodos alternativos que utilizam arquivos do Excel com macros embutidas como um meio para executar um arquivo de script Visual Basic. Este é responsável por acionar comandos do PowerShell para iniciar um script AutoHotKey, que por sua vez, recupera e decodifica a carga útil do DarkGate a partir de um arquivo de texto.
A versão mais recente do DarkGate apresenta atualizações significativas em sua configuração, técnicas de evasão e lista de comandos suportados, que agora incluem gravação de áudio, controle de mouse e recursos de gerenciamento de teclado.
“A versão 6 não apenas introduz novos comandos, mas também exclui alguns dos anteriores, como o escalonamento de privilégios, a mineração de criptomoedas ou os hVNC (Hidden Virtual Network Computing)”, disse Fernández Provecho, sugerindo que isso pode ser um esforço para eliminar recursos que possam facilitar a detecção.
“Ademais, como o DarkGate é comercializado para um grupo restrito de pessoas, é possível que esses clientes não tivessem interesse nesses recursos, levando RastaFarEye a excluí-los.”
A revelação acontece em um momento em que cibercriminosos estão explorando o Docusign, vendendo modelos personalizáveis de phishing que parecem legítimos em fóruns ocultos. Isso transformou o serviço em um campo propício para phishers que procuram roubar credenciais para golpes de phishing e comprometimento de e-mail comercial (BEC).
“Esses e-mails fraudulentos, cuidadosamente elaborados para se assemelharem a solicitações legítimas de assinatura de documentos, induzem destinatários inocentes a clicar em links maliciosos ou a revelar informações sensíveis”, afirmou a Abnormal Security.
Fonte: The Hacker News
1 thought on “Malware DarkGate: substitui o AutoIt pelo AutoHotkey nos últimos ataques cibernéticos”
Comments are closed.