Malware DarkGate ha vuelto a surgir en el mundo cibernético, esta vez a través de una astuta campaña de phishing que utiliza mensajes de Microsoft Teams para distribuir archivos maliciosos.
Esta campaña, que comenzó a fines de agosto de 2023, aprovecha dos cuentas externas comprometidas de Office 365 para enviar mensajes de phishing de Microsoft Teams a otras organizaciones.
Cómo funciona el engaño del malware DarkGate
Las cuentas comprometidas persuaden a los usuarios de Microsoft Teams para que descarguen y abran un archivo ZIP llamado «Cambios en el calendario de vacaciones». Al hacer clic en el archivo adjunto, se activa la descarga de un ZIP desde una URL de SharePoint, que contiene un archivo LNK disfrazado de documento PDF.
Los investigadores de Truesec analizaron esta campaña de phishing y descubrieron que contiene VBScript malicioso que inicia una cadena de infección que finaliza con una carga útil identificada como DarkGate Loader. Para evadir la detección, el proceso de descarga utiliza Windows cURL para recuperar los archivos ejecutables y de script del malware.
Técnicas de Ocultamiento
El script llega precompilado, ocultando su código malicioso en medio del archivo. Antes de continuar, verifica si el software antivirus de Sophos está instalado en la máquina de destino y, si no lo está, desofusca el código adicional e inicia el shellcode.
Este código shell utiliza una técnica llamada «cadenas apiladas» para construir el ejecutable DarkGate de Windows y cargarlo en la memoria.
El Phishing en Equipos de Microsoft
Esta no es la primera vez que se explora el phishing en equipos de Microsoft. Informes anteriores, como el de Jumpsec en junio de 2023, demostraron la vulnerabilidad de este sistema al enviar mensajes maliciosos a otras organizaciones mediante phishing e ingeniería social.
A pesar de las alertas, Microsoft no ha abordado de manera directa esta preocupación. En su lugar, recomendó que los administradores apliquen configuraciones seguras y restrinjan el acceso externo cuando no sea necesario.
DarkGate: Un Malware Poderoso
DarkGate ha estado en circulación desde 2017, siendo utilizado por un pequeño grupo de ciberdelincuentes con objetivos específicos.
Este malware es versátil y puede realizar una amplia gama de actividades maliciosas, desde acceso remoto hasta minería de criptomonedas, registro de teclas y robo de información.
Recientemente, alguien que afirmaba ser el autor original de DarkGate intentó vender acceso al malware por una suma significativa. Esto ha coincidido con un aumento en la distribución y el uso de DarkGate a través de múltiples canales, incluido el phishing y la publicidad maliciosa.
Aunque DarkGate aún no es una amenaza generalizada, su crecimiento y enfoque en diversas vías de infección lo convierten en un peligro emergente que debe ser vigilado de cerca.
¿Qué medidas de seguridad consideras necesarias para proteger tu organización contra amenazas como DarkGate? Comparte tus opiniones en los comentarios.
También hablamos de:
