Uma recente campanha de phishing foi descoberta explorando o Microsoft Teams para distribuir o malware DarkGate. Conforme relatado pelo TrueSec, os invasores estão usando notificações falsas de reuniões para atrair os usuários. baixando um documento malicioso. Depois que o documento é aberto, ele aciona o download do malware DarkGate.
Telekom Security lança luz sobre DarkGate
A análise da Telekom Security CTI revela que a campanha de malware foi inicialmente atribuída incorretamente ao Emotet devido a uma correspondência de falso positivo. No entanto, uma análise mais aprofundada confirmou a sua associação com a família de malware DarkGate. O malware usa scripts AutoIt para sua rotina inicial de infecção e se comunica com um Protocolo C2 semelhante às versões anteriores do DarkGate.
Detalhes da cadeia de infecção
As vítimas recebem uma mensagem de phishing contendo um link. Clicar neste link, que provavelmente aponta para um sistema de distribuição de tráfego (TDS ), leva a vítima ao URL de carga útil final para um download MSI. Abrir o arquivo MSI baixado inicia a infecção do DarkGate. Em outra campanha observada, a carga inicial foi entregue como um script Visual Basic. Este script, após várias camadas de ofuscação, usa o binário curl no Windows para baixar o executável AutoIt e o arquivo de script de um servidor controlado pelo invasor.
Capacidades do DarkGate
O malware está equipado com vários recursos, incluindo mecanismos de persistência, escalonamento de privilégios , técnicas de evasão de defesa e acesso a credenciais. Ele pode detectar e evitar soluções comuns de sandbox e máquinas virtuais (VM), verificar produtos antivírus bem conhecidos e até mesmo mascarar sua presença injetando-se em processos legítimos do Windows. Além disso, ele pode roubar dados de vários programas, desde navegadores até softwares como Discord e FileZilla.
O ator por trás do DarkGate
Um usuário chamado RastaFarEye tem promovido o DarkGate Loader em fóruns de crimes cibernéticos desde 16 de junho de 2023. Este indivíduo afirma ter investido mais de 20.000 horas desde 2017 em o desenvolvimento do malware. O ator oferece vários modelos de preços para o malware e limita seu acesso a um máximo de 10 afiliados para manter sua exclusividade. Apesar de se comunicar principalmente em inglês, há indícios de que o ator possa estar familiarizado com russo e espanhol, sugerindo uma formação linguística diversificada.
