DarkGate 6.0: el RAT actualizado atraviesa la ciberdefensa utilizando AutoHotkey

El malware DarkGate, distribuido bajo el modelo MaaS (Malware-as-a-Service), ha cambiado su método de entrega de las etapas finales, pasando de los scripts AutoIt al mecanismo AutoHotkey. Este cambio subraya el esfuerzo de los cibercriminales por adelantarse constantemente a los sistemas de detección de amenazas.

Las observaciones mostraron que las actualizaciones aparecieron en la versión 6 de DarkGate, lanzada en marzo de 2024 por un desarrollador conocido como RastaFarEye. El programa se vende activamente por suscripción y es utilizado por unos 30 clientes.

El malware DarkGate es conocido desde 2018 y es un troyano de acceso remoto (RAT) completo, equipado con capacidades de C2 y rootkit. El programa incluye módulos para robar credenciales, registrar pulsaciones de teclas, capturar pantallas y escritorio remoto.

«Las campañas de DarkGate se adaptan rápidamente, modificando varios componentes para evadir la detección por parte de los sistemas de seguridad», señaló un investigador de seguridad de Trellix en su análisis. «Esta es la primera vez que detectamos el uso de AutoHotkey para lanzar DarkGate».

La transición a AutoHotkey fue documentada por primera vez por McAfee Labs a fines de abril de 2024. Los ataques explotan vulnerabilidades como CVE-2023-36025 y CVE-2024-21412 para eludir la protección de Microsoft Defender SmartScreen, aprovechando Microsoft Excel o adjuntos HTML en correos electrónicos de phishing.

Otros métodos utilizan archivos de Excel con macros incrustadas para ejecutar Visual Basic Script, que invoca comandos de PowerShell que finalmente ejecutan el script de AutoHotkey. Este script carga y decodifica la carga útil de DarkGate desde un archivo de texto.

La nueva versión de DarkGate incluye mejoras significativas en la configuración, las técnicas de evasión y los comandos disponibles. Ahora admite funciones de grabación de audio, control de mouse y teclado.

«La versión 6 no solo agregó nuevos comandos, sino que también eliminó algunos de las versiones anteriores, como la elevación de privilegios, la criptominería y el control de red virtual oculta (hVNC)», agregaron en Trellix, sugiriendo que esto podría haber sido para recortar funciones que podrían provocar la detección.

También vale la pena mencionar que DarkGate se vende a un número limitado de clientes, lo que podría haber influido en la decisión de RastaFarEye de eliminar algunas funciones.

Por lo tanto, el reciente cambio en la funcionalidad de DarkGate demuestra el esfuerzo de sus autores por innovar y mejorar la eficacia de sus ataques, subrayando la necesidad de un monitoreo constante y una respuesta rápida por parte de la industria de la ciberseguridad para protegerse contra las nuevas y sofisticadas amenazas.