DarkGate: el troyano en Excel que siembra el caos en la red
🦠 El sucesor de QakBot ahora ataca a los usuarios a través de servidores Samba.
🔍 Especialistas de Palo Alto Networks Unit 42 han descubierto la campaña DarkGate, en la que se utilizan recursos de archivos Samba para la distribución del troyano. Se observó actividad en marzo y abril de 2024, cuando DarkGate utilizó servidores Samba públicos que alojaban archivos VBS y JavaScript. Los objetivos de los ataques fueron usuarios en América del Norte, Europa y Asia.
💻 El malware DarkGate, que apareció por primera vez en 2018, opera bajo el modelo MaaS para un número limitado de clientes. DarkGate cuenta con funciones de control remoto de hosts infectados, ejecución de código, minería de criptomonedas, lanzamiento de shell inverso (Reverse Shell) y entrega de cargas útiles adicionales. En los últimos meses, los ataques con DarkGate han aumentado significativamente tras una operación internacional en la que las autoridades desmantelaron la infraestructura de QakBot en agosto de 2023.
📄 La campaña de DarkGate descubierta comienza con el envío por correo electrónico de archivos de Microsoft Excel (.xlsx) que, al abrirse, instan al usuario a hacer clic en el botón "Abrir". Tras hacer clic en el botón, se ejecuta el código VBS alojado en Samba. El código VBS descarga un script de PowerShell desde el servidor C2, que finalmente descarga el paquete DarkGate basado en AutoHotKey. Escenarios alternativos utilizan JavaScript en lugar de VBS para cargar y ejecutar el script de PowerShell subsiguiente.
🔐 Uno de los métodos de anti-análisis de DarkGate es la identificación de la CPU del sistema objetivo. El troyano comprueba si se está ejecutando en un entorno virtual o en un host físico. Esta verificación permite que el troyano detenga su ejecución para evitar el análisis en un entorno controlado. El malware también inspecciona los procesos en ejecución en el host para detectar herramientas de ingeniería inversa, depuradores o programas de virtualización.
#Ciberseguridad #DarkGate #AtaqueTroyano
@SecLabLatNews
🦠 El sucesor de QakBot ahora ataca a los usuarios a través de servidores Samba.
🔍 Especialistas de Palo Alto Networks Unit 42 han descubierto la campaña DarkGate, en la que se utilizan recursos de archivos Samba para la distribución del troyano. Se observó actividad en marzo y abril de 2024, cuando DarkGate utilizó servidores Samba públicos que alojaban archivos VBS y JavaScript. Los objetivos de los ataques fueron usuarios en América del Norte, Europa y Asia.
💻 El malware DarkGate, que apareció por primera vez en 2018, opera bajo el modelo MaaS para un número limitado de clientes. DarkGate cuenta con funciones de control remoto de hosts infectados, ejecución de código, minería de criptomonedas, lanzamiento de shell inverso (Reverse Shell) y entrega de cargas útiles adicionales. En los últimos meses, los ataques con DarkGate han aumentado significativamente tras una operación internacional en la que las autoridades desmantelaron la infraestructura de QakBot en agosto de 2023.
📄 La campaña de DarkGate descubierta comienza con el envío por correo electrónico de archivos de Microsoft Excel (.xlsx) que, al abrirse, instan al usuario a hacer clic en el botón "Abrir". Tras hacer clic en el botón, se ejecuta el código VBS alojado en Samba. El código VBS descarga un script de PowerShell desde el servidor C2, que finalmente descarga el paquete DarkGate basado en AutoHotKey. Escenarios alternativos utilizan JavaScript en lugar de VBS para cargar y ejecutar el script de PowerShell subsiguiente.
🔐 Uno de los métodos de anti-análisis de DarkGate es la identificación de la CPU del sistema objetivo. El troyano comprueba si se está ejecutando en un entorno virtual o en un host físico. Esta verificación permite que el troyano detenga su ejecución para evitar el análisis en un entorno controlado. El malware también inspecciona los procesos en ejecución en el host para detectar herramientas de ingeniería inversa, depuradores o programas de virtualización.
#Ciberseguridad #DarkGate #AtaqueTroyano
@SecLabLatNews
www.securitylab.lat
DarkGate: un peligroso troyano se oculta en archivos de Excel
El sucesor de QakBot ahora ataca a los usuarios a través de servidores Samba.