Hackers vietnamitas miram Reino Unido, EUA e Índia com malware DarkGate
23 de Outubro de 2023

Ataques aproveitando o malware comum DarkGate visando entidades no Reino Unido, EUA e Índia foram associados a atores vietnamitas associados ao uso do infame ladrão Ducktail.

"A sobreposição de ferramentas e campanhas é muito provável devido aos efeitos de um mercado de cibercrime," disse WithSecure em um relatório publicado hoje.

"Os atores de ameaças são capazes de adquirir e usar diferentes ferramentas para o mesmo propósito, e tudo o que eles precisam fazer é identificar alvos, campanhas e iscas."

O desenvolvimento vem em meio a um aumento nas campanhas de malware usando DarkGate nos últimos meses, impulsionado principalmente pela decisão de seu autor de alugá-lo em uma base de malware-como-serviço (MaaS) para outros atores de ameaças após usá-lo privadamente desde 2018.

Não são apenas DarkGate e Ducktail, pois o grupo de atores de ameaças vietnamitas responsável por essas campanhas está aproveitando iscas, temas, objetivos e métodos de entrega muito semelhantes ou os mesmos para também entregar LOBSHOT e RedLine Stealer.

Cadeias de ataque distribuindo DarkGate são caracterizadas pelo uso de scripts AutoIt recuperados por meio de um script Visual Basic enviado por e-mails de phishing ou mensagens no Skype ou no Microsoft Teams.

A execução do script AutoIt leva ao implante do DarkGate.

Nesse caso, entretanto, o vetor inicial de infecção foi uma mensagem do LinkedIn que redirecionou a vítima para um arquivo hospedado no Google Drive, uma técnica comumente utilizada pelos atores de Ducktail.

"Temas e iscas de campanha muito semelhantes foram usadas para entregar Ducktail e DarkGate", disse WithSecure, embora a função da fase final seja bastante diferente.

Enquanto Ducktail funciona como um ladrão, DarkGate é um trojan de acesso remoto (RAT) com capacidades de roubo de informações que também estabelece persistência secreta nas máquinas comprometidas para acesso de backdoor.

"DarkGate está por aí há muito tempo e está sendo usado por muitos grupos para diferentes propósitos, e não apenas este grupo ou cluster no Vietnã", disse o pesquisador de segurança Stephen Robinson, analista sênior de inteligência de ameaças na WithSecure.

"O outro lado disso é que os atores podem usar várias ferramentas para a mesma campanha, o que pode obscurecer a verdadeira extensão de sua atividade a partir de uma análise puramente baseada em malware."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...