Ataques aproveitando o malware comum DarkGate visando entidades no Reino Unido, EUA e Índia foram associados a atores vietnamitas associados ao uso do infame ladrão Ducktail.
"A sobreposição de ferramentas e campanhas é muito provável devido aos efeitos de um mercado de cibercrime," disse WithSecure em um relatório publicado hoje.
"Os atores de ameaças são capazes de adquirir e usar diferentes ferramentas para o mesmo propósito, e tudo o que eles precisam fazer é identificar alvos, campanhas e iscas."
O desenvolvimento vem em meio a um aumento nas campanhas de malware usando DarkGate nos últimos meses, impulsionado principalmente pela decisão de seu autor de alugá-lo em uma base de malware-como-serviço (MaaS) para outros atores de ameaças após usá-lo privadamente desde 2018.
Não são apenas DarkGate e Ducktail, pois o grupo de atores de ameaças vietnamitas responsável por essas campanhas está aproveitando iscas, temas, objetivos e métodos de entrega muito semelhantes ou os mesmos para também entregar LOBSHOT e RedLine Stealer.
Cadeias de ataque distribuindo DarkGate são caracterizadas pelo uso de scripts AutoIt recuperados por meio de um script Visual Basic enviado por e-mails de phishing ou mensagens no Skype ou no Microsoft Teams.
A execução do script AutoIt leva ao implante do DarkGate.
Nesse caso, entretanto, o vetor inicial de infecção foi uma mensagem do LinkedIn que redirecionou a vítima para um arquivo hospedado no Google Drive, uma técnica comumente utilizada pelos atores de Ducktail.
"Temas e iscas de campanha muito semelhantes foram usadas para entregar Ducktail e DarkGate", disse WithSecure, embora a função da fase final seja bastante diferente.
Enquanto Ducktail funciona como um ladrão, DarkGate é um trojan de acesso remoto (RAT) com capacidades de roubo de informações que também estabelece persistência secreta nas máquinas comprometidas para acesso de backdoor.
"DarkGate está por aí há muito tempo e está sendo usado por muitos grupos para diferentes propósitos, e não apenas este grupo ou cluster no Vietnã", disse o pesquisador de segurança Stephen Robinson, analista sênior de inteligência de ameaças na WithSecure.
"O outro lado disso é que os atores podem usar várias ferramentas para a mesma campanha, o que pode obscurecer a verdadeira extensão de sua atividade a partir de uma análise puramente baseada em malware."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...