A lo largo del verano y otoño de 2023, hubo un troyano de acceso remoto que llamó la atención de los expertos, debido a su propagación por múltiples vías y la forma de hacerlos. Se trata de DarkGate, un malware que ha estado propagándose desde correos electrónicos, Microsoft Teams, Skype, malvertising y actualizaciones falsas de navegadores.
Desde entonces, la empresa Proofpoint ha estado analizado y rastreando a un operador particularmente interesante del malware DarkGate. Por el momento, los investigadores no están atribuyendo estas actividades a un actor de amenazas conocido y temporalmente lo han denominado BattleRoyal.
Se ha sabido que este grupo ha utilizado DarkGate en al menos 20 compañías de correo electrónico. Penetraban en los GroupIDs, un ajuste de configuración que también se conoce como nombre de usuario, botnet, campaña o flag 23.
Los hallazgos de Proofpoint fueron decenas de miles de correos electrónicos dirigidos a varias industrias de EE. UU. y Canadá. Cadena de ataque: incluye una variedad de herramientas destacadas como 404 TDS, Keitaro TDS y archivos .URL que explotan.
La ingeniería social de DarkGate
En su informe periódico sobre amenazas, Proofpoint destaca la tendencia general que de actores de amenazas cibernéticas que adoptan cadenas de ataque nuevas, diversas y cada vez más creativas, incluyendo el uso de diversas herramientas de TDS (Sistemas de Distribución de Tráfico) para habilitar la distribución de malware.
Además, el uso tanto de correos electrónicos como de señuelos de actualizaciones falsas muestra que los piratas están utilizando múltiples tipos de técnicas de ingeniería social en un intento por hacer que los usuarios instalen la carga final.
Una vez clicado en una URL de la campaña, el usuario desactivaría defensas y no se produciría una alerta SmartScreen como cuando una .URL apuntara a un recurso compartido SMB o WebDav como file:// y la payload estuviera dentro de un archivo ZIP especificado en el destino de la URL.
Cuidado con las actualizaciones del navegador
Otro de los hallazgos de Proofpoint son las campañas de BattleRoyal que enviaba solicitudes de actualización del navegador falsas a los usuarios finales. En ese clic, el usuario terminaba descargando un archivo similar al descrito anteriormente por la vía del correo electrónico. A través de este método, se ha sabido que el grupo de piratería entregaba a DarkGate, el cual sustituía a NetSupport como herramienta de acceso remoto más consolidada en mundo de la ciberdelincuencia.
