En el panorama de amenazas cibernéticas en constante evolución, las agencias encargadas de hacer cumplir la ley han visto avances en el descubrimiento de DarkGate, desarrolladores de malware, actores de amenazas y administradores de foros.
Al mismo tiempo, han tomado cada vez más control de los servidores de comando y control, interrumpiendo las redes de distribución de malware. En este entorno dinámico, la aparición de nuevos actores y la adaptación de los existentes no es una coincidencia. Un ejemplo reciente de esta evolución es la aparición del malware morphing, que muestra a los actores de amenazas cambiando de nombre y modificando familias de malware. Tras el desmantelamiento de la infraestructura Qbot, la difusión de DarkGate ha aumentado significativamente, lo que pone de relieve la evolución continua de las ciberamenazas.
DarkGate, PikaBot y Qakbot
Cofense ha encontrado similitudes entre las campañas de phishing de DarkGate y PikaBot que se basan en técnicas de Qakbot. Esto indica posibles conexiones desconocidas o adaptaciones de técnicas existentes y resalta la complejidad de las ciberamenazas modernas. DarkGate, también conocido como MehCrypter, actúa como cargador de malware y RAT y, por lo tanto, puede realizar diversas acciones maliciosas. Estos incluyen el robo de datos confidenciales y el uso de mineros de criptomonedas. El malware se distribuye principalmente mediante phishing, a menudo a través de temas relacionados con las actualizaciones del navegador, así como mediante publicidad maliciosa y envenenamiento de SEO. Una característica especial es el uso de Autolt, un lenguaje de secuencias de comandos para automatizar la GUI de Windows y tareas de secuencias de comandos comunes. Esta característica permite a los usuarios crear scripts que automatizan tareas como presionar teclas y movimientos del mouse, lo cual es particularmente útil para la instalación de software y la administración del sistema.
El malware también se distribuye a través de temas falsos de actualización del navegador. Se utilizan URL de phishing y sistemas de distribución de tráfico para descargar la carga maliciosa. La propagación del malware también se observó a través de Microsoft Teams, donde los atacantes se hicieron pasar por el director ejecutivo de una empresa y enviaron invitaciones a Teams como parte de sus tácticas de engaño. El uso de sistemas de protección de endpoints para detectar y bloquear malware es fundamental, como muestra el ejemplo de DarkGate.
Más en Logpoint.com
Acerca de Logpoint Logpoint es el fabricante de una plataforma innovadora y confiable para operaciones de ciberseguridad. Con la combinación de tecnología avanzada y un profundo conocimiento de los desafíos de los clientes, Logpoint fortalece las capacidades de los equipos de seguridad y les ayuda a combatir las amenazas actuales y futuras. Logpoint ofrece tecnologías de seguridad SIEM, UEBA, SOAR y SAP que convergen en una plataforma completa que detecta amenazas de manera eficiente, minimiza los falsos positivos, prioriza riesgos de forma autónoma, responde a incidentes y más.