DarkGate: un peligroso troyano se oculta en archivos de Excel

Especialistas de Palo Alto Networks Unit 42 han descubierto la campaña DarkGate, en la que se utilizan recursos de archivos Samba para la distribución del troyano. Se observó actividad en marzo y abril de 2024, cuando DarkGate utilizó servidores Samba públicos que alojaban archivos VBS y JavaScript. Los objetivos de los ataques fueron usuarios en América del Norte, Europa y Asia.

El malware DarkGate, que apareció por primera vez en 2018, opera bajo el modelo MaaS para un número limitado de clientes. DarkGate cuenta con funciones de control remoto de hosts infectados, ejecución de código, minería de criptomonedas, lanzamiento de shell inverso (Reverse Shell) y entrega de cargas útiles adicionales. En los últimos meses, los ataques con DarkGate han aumentado significativamente tras una operación internacional en la que las autoridades desmantelaron la infraestructura de QakBot en agosto de 2023.

La campaña de DarkGate descubierta comienza con el envío por correo electrónico de archivos de Microsoft Excel (.xlsx) que, al abrirse, instan al usuario a hacer clic en el botón "Abrir". Tras hacer clic en el botón, se ejecuta el código VBS alojado en Samba. El código VBS descarga un script de PowerShell desde el servidor C2, que finalmente descarga el paquete DarkGate basado en AutoHotKey. Escenarios alternativos utilizan JavaScript en lugar de VBS para cargar y ejecutar el script de PowerShell subsiguiente.

Uno de los métodos de anti-análisis de DarkGate es la identificación de la CPU del sistema objetivo. El troyano comprueba si se está ejecutando en un entorno virtual o en un host físico. Esta verificación permite que el troyano detenga su ejecución para evitar el análisis en un entorno controlado. El malware también inspecciona los procesos en ejecución en el host para detectar herramientas de ingeniería inversa, depuradores o programas de virtualización.

Además de verificar la información de la CPU, DarkGate también escanea el sistema en busca de una variedad de programas de protección contra malware. Al detectar el software de seguridad instalado, DarkGate puede evitar los mecanismos de detección o incluso desactivarlos para evitar un análisis posterior. El tráfico de control y comando (C2) utiliza solicitudes HTTP sin cifrar, pero los datos están ofuscados y se presentan como texto codificado en Base64. Los especialistas destacaron que DarkGate sigue evolucionando y mejorando sus métodos de penetración y resistencia al análisis, recordándonos la necesidad de una protección de ciberseguridad robusta y proactiva.