Malware explora compartilhamentos Samba
15 de Julho de 2024

Pesquisadores de cibersegurança lançaram luz sobre uma campanha de curta duração do malware DarkGate que usou compartilhamentos de arquivos Samba para iniciar as infecções.

Palo Alto Networks Unit 42 informou que a atividade ocorreu nos meses de março e abril de 2024, com as cadeias de infecção utilizando servidores que possuem compartilhamentos de arquivos Samba acessíveis ao público, hospedando arquivos Visual Basic Script (VBS) e JavaScript.

Os alvos incluíram América do Norte, Europa e partes da Ásia.

"Essa foi uma campanha relativamente curta, que ilustra como os atores de ameaças podem abusar criativamente de ferramentas e serviços legítimos para distribuir seu malware", disseram os pesquisadores de segurança Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh e Brad Duncan.

DarkGate, que surgiu pela primeira vez em 2018, evoluiu para uma oferta de malware-as-a-service (MaaS) utilizada por um número restrito de clientes.

Ele vem com capacidades para controlar hosts comprometidos remotamente, executar código, minerar criptomoeda, lançar reverse shells e liberar payloads adicionais.

Os ataques envolvendo o malware particularmente testemunharam um aumento nos últimos meses após a desativação da infraestrutura QakBot por forças de segurança multinacionais em agosto de 2023.

A campanha documentada pela Unit 42 começa com arquivos Microsoft Excel (.xlsx) que, quando abertos, instam os alvos a clicar em um botão de abertura embutido, que, por sua vez, busca e executa código VBS hospedado em um compartilhamento de arquivos Samba.

O script PowerShell é configurado para recuperar e executar um script PowerShell, que é então usado para baixar um pacote DarkGate baseado em AutoHotKey.

Sequências alternativas usando arquivos JavaScript, em vez de VBS, não são diferentes, na medida em que também são projetadas para baixar e executar o script PowerShell subsequente.

DarkGate funciona escaneando por diversos programas anti-malware e verificando as informações da CPU para determinar se está rodando em um host físico ou um ambiente virtual, permitindo assim dificultar a análise.

Ele também examina os processos em execução no host para determinar a presença de ferramentas de engenharia reversa, debuggers ou software de virtualização.

"O tráfego C2 de DarkGate usa solicitações HTTP não criptografadas, mas os dados são ofuscados e aparecem como texto codificado em Base64", disseram os pesquisadores.

À medida que DarkGate continua a evoluir e refinar seus métodos de infiltração e resistência à análise, ele permanece um lembrete potente da necessidade de defesas de cibersegurança robustas e proativas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...