Malware DarkGate reaparece tras ser vendido como Malware como Servicio (MaaS)

DarkGate es un malware básico pero versátil, que puede recopilar datos confidenciales de navegadores web, realizar minería de criptomonedas y permitir a los operadores controlar de forma remota los sistemas infectados. También actúa como descargador de cargas útiles adicionales, incluido el conocido Remcos RAT.

Distribución de DarkGate

Desde junio 2023 hasta la fecha, se ha observado un aumento en las campañas de ingeniería social que distribuyen DarkGate, esto debido a que su creador comenzó a promocionarlo activamente en plataformas de ciberdelincuencia, ofreciéndolo como MaaS (Malware como Servicio), aprovechando tácticas como correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda para atraer a usuarios desprevenidos a instalarlo. 

Ilustración 1: Correo malicioso con adjunto ZIP recibido en MS Teams
Fuente: Grupo CTI Entel Digital

Propagación e infección

Este malware se propaga a través de plataformas de mensajería instantánea como Skype y Microsoft Teams, utilizando estas aplicaciones de mensajería para entregar un script de carga de Visual Basic para Aplicaciones (VBA) disfrazado como un documento PDF, que al abrirse, descarga y ejecuta un script AutoIt diseñado para iniciar el malware. También se ha observado una secuencia de ataque alternativa en la que los atacantes envían un mensaje de Microsoft Teams con un archivo adjunto ZIP diseñado para ejecutar un script VBA que recupera AutoIt3[.]exe y DarkGate. Si bien no está claro cómo se comprometieron las cuentas originales de estas aplicaciones (Skype – MS Teams), se presume que las credenciales fueron obtenidas en foros clandestinos de la DDW (Deep Dark Web).

Ilustración 2: Proceso infección DarkGate MS Teams
Fuente: Palo Alto Networks

Presencia DDW (Deep Dark Web)

El autor de este malware ha anunciado su disponibilidad en foros clandestinos el 30 de mayo de este año y lo ha alquilado como servicio a otros actores de amenazas, lo que ha contribuido a su propagación, a continuación, se puede apreciar una publicación obtenida desde la DDW, con los servicios y costos ofrecidos.

Ilustración 3: Anuncio en la DDW sobre venta de malware DarkGate
Fuente: Plataforma X “ThreatMon”

Impacto geográfico

Según el seguimiento realizado por los investigadores de Trend Micro, la mayoría de los ataques de DarkGate han sido detectados en continentes como América, seguida de cerca por Asia, Oriente Medio y África.

Ilustración 4: Gráfico con zonas geográficas afectadas por DarkGate
Fuente: Grupo CTI Entel Digital

Apreciación

DarkGate representa una amenaza significativa en el panorama de la ciberseguridad. Su propagación a través de plataformas de mensajería instantánea y su capacidad para llevar a cabo una amplia gama de actividades maliciosas, incluida la recopilación de datos, la minería de criptomonedas y el control remoto de sistemas, lo convierten en un riesgo para organizaciones y usuarios en todo el mundo. 

La concienciación sobre las tácticas de ingeniería social utilizadas en la distribución de este malware y la implementación de medidas de seguridad cibernética efectivas son esenciales para mitigar esta amenaza en constante evolución.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.