Hackers vietnamitas miram Reino Unido, EUA e Índia com malware DarkGate
23 de Outubro de 2023

Ataques aproveitando o malware comum DarkGate visando entidades no Reino Unido, EUA e Índia foram associados a atores vietnamitas associados ao uso do infame ladrão Ducktail.

"A sobreposição de ferramentas e campanhas é muito provável devido aos efeitos de um mercado de cibercrime," disse WithSecure em um relatório publicado hoje.

"Os atores de ameaças são capazes de adquirir e usar diferentes ferramentas para o mesmo propósito, e tudo o que eles precisam fazer é identificar alvos, campanhas e iscas."

O desenvolvimento vem em meio a um aumento nas campanhas de malware usando DarkGate nos últimos meses, impulsionado principalmente pela decisão de seu autor de alugá-lo em uma base de malware-como-serviço (MaaS) para outros atores de ameaças após usá-lo privadamente desde 2018.

Não são apenas DarkGate e Ducktail, pois o grupo de atores de ameaças vietnamitas responsável por essas campanhas está aproveitando iscas, temas, objetivos e métodos de entrega muito semelhantes ou os mesmos para também entregar LOBSHOT e RedLine Stealer.

Cadeias de ataque distribuindo DarkGate são caracterizadas pelo uso de scripts AutoIt recuperados por meio de um script Visual Basic enviado por e-mails de phishing ou mensagens no Skype ou no Microsoft Teams.

A execução do script AutoIt leva ao implante do DarkGate.

Nesse caso, entretanto, o vetor inicial de infecção foi uma mensagem do LinkedIn que redirecionou a vítima para um arquivo hospedado no Google Drive, uma técnica comumente utilizada pelos atores de Ducktail.

"Temas e iscas de campanha muito semelhantes foram usadas para entregar Ducktail e DarkGate", disse WithSecure, embora a função da fase final seja bastante diferente.

Enquanto Ducktail funciona como um ladrão, DarkGate é um trojan de acesso remoto (RAT) com capacidades de roubo de informações que também estabelece persistência secreta nas máquinas comprometidas para acesso de backdoor.

"DarkGate está por aí há muito tempo e está sendo usado por muitos grupos para diferentes propósitos, e não apenas este grupo ou cluster no Vietnã", disse o pesquisador de segurança Stephen Robinson, analista sênior de inteligência de ameaças na WithSecure.

"O outro lado disso é que os atores podem usar várias ferramentas para a mesma campanha, o que pode obscurecer a verdadeira extensão de sua atividade a partir de uma análise puramente baseada em malware."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...