Ataques cibernéticos envolvendo a operação de malware-as-a-service (MaaS) DarkGate desviaram-se de scripts AutoIt para um mecanismo AutoHotkey para entregar as últimas etapas, sublinhando os contínuos esforços por parte dos atores de ameaças para permanecerem sempre à frente da curva de detecção.
As atualizações foram observadas na versão 6 do DarkGate lançada em março de 2024 pelo seu desenvolvedor RastaFarEye, que tem vendido o programa em uma base de assinatura para até 30 clientes.
O malware está ativo desde pelo menos 2018. Um trojan de acesso remoto (RAT) totalmente equipado, o DarkGate possui capacidades de command-and-control (C2) e rootkit, e incorpora vários módulos para furto de credenciais, keylogging, captura de tela e desktop remoto.
"As campanhas do DarkGate tendem a se adaptar muito rápido, modificando diferentes componentes para tentar se esquivar das soluções de segurança", disse o pesquisador de segurança da Trellix, Ernesto Fernández Provecho, em uma análise de segunda-feira(03).
Esta é a primeira vez que encontramos o DarkGate usando AutoHotKey, um interpretador de scripts não tão comum, para lançar o DarkGate.
Vale ressaltar que a mudança do DarkGate para AutoHotKey foi documentada pela primeira vez pela McAfee Labs no final de abril de 2024, com cadeias de ataque explorando falhas de segurança como
CVE-2023-36025
e
CVE-2024-21412
para contornar as proteções do Microsoft Defender SmartScreen usando um anexo de Microsoft Excel ou um anexo HTML em e-mails de phishing.
Métodos alternativos foram encontrados para aproveitar arquivos Excel com macros embutidas como um meio de executar um arquivo de Script Visual Basic responsável por invocar comandos PowerShell para, finalmente, lançar um script AutoHotkey, que, por sua vez, recupera e decodifica o payload do DarkGate a partir de um arquivo de texto.
A última versão do DarkGate inclui melhorias substanciais em sua configuração, técnicas de evasão e a lista de comandos suportados, que agora inclui recursos de gravação de áudio, controle de mouse e gerenciamento de teclado.
"A versão 6 não apenas inclui novos comandos, mas também omite alguns das versões anteriores, como os de escalonamento de privilégios, criptomineração ou os recursos do hVNC (Hidden Virtual Network Computing)", disse Fernández Provecho, acrescentando que isso pode ser um esforço para eliminar funcionalidades que poderiam permitir a detecção.
Além disso, como o DarkGate é vendido para um grupo pequeno de pessoas, também é possível que os clientes não estivessem interessados nessas funcionalidades, forçando RastaFarEye a removê-las.
A divulgação ocorre à medida que criminosos cibernéticos foram encontrados abusando do Docusign vendendo modelos de phishing personalizáveis e com aparência legítima em fóruns clandestinos, transformando o serviço em terreno fértil para phishers que procuram roubar credenciais para phishing e golpes de comprometimento de e-mail empresarial (BEC).
"Esses e-mails fraudulentos, meticulosamente projetados para imitar solicitações legítimas de assinatura de documentos, atraem destinatários desavisados a clicar em links maliciosos ou divulgar informações sensíveis", disse a Abnormal Security.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...