Nel panorama delle minacce informatiche in continua evoluzione, le forze dell’ordine hanno visto progressi nello scoprire DarkGate, sviluppatori di malware, autori di minacce e gestori di forum.
Allo stesso tempo, hanno preso sempre più il controllo dei server di comando e controllo, interrompendo le reti di distribuzione del malware. In questo ambiente dinamico, l’emergere di nuovi attori e l’adattamento di quelli esistenti non sono una coincidenza. Un esempio recente di questa evoluzione è l’emergere del malware morphing, che mostra gli autori delle minacce cambiare nomi e modificare le famiglie di malware. A seguito dello smantellamento dell’infrastruttura Qbot, la diffusione di DarkGate è aumentata notevolmente, evidenziando la continua evoluzione delle minacce informatiche.
DarkGate, PikaBot e Qakbot
Cofense ha trovato somiglianze tra le campagne di phishing DarkGate e PikaBot che si basano sulle tecniche Qakbot. Ciò indica possibili connessioni sconosciute o adattamenti di tecniche esistenti ed evidenzia la complessità delle moderne minacce informatiche. DarkGate, noto anche come MehCrypter, agisce sia come caricatore di malware che come RAT e quindi può eseguire varie azioni dannose. Questi includono il furto di dati sensibili e l’uso di minatori di criptovaluta. Il malware viene distribuito principalmente tramite phishing, spesso tramite argomenti relativi agli aggiornamenti del browser, nonché tramite malvertising e SEO Poisoning. Una caratteristica speciale è l'uso di Autolt, un linguaggio di scripting per automatizzare la GUI di Windows e attività di scripting comuni. Questa funzionalità consente agli utenti di creare script che automatizzano attività come la pressione dei tasti e i movimenti del mouse, il che è particolarmente utile per l'installazione del software e l'amministrazione del sistema.
Il malware viene distribuito anche tramite falsi temi di aggiornamento del browser. URL di phishing e sistemi di distribuzione del traffico vengono utilizzati per scaricare il payload dannoso. La diffusione del malware è stata osservata anche tramite Microsoft Teams, dove gli aggressori si sono finti amministratori delegati dell'azienda e hanno inviato inviti a Teams come parte delle loro tattiche di inganno. L’utilizzo di sistemi di protezione degli endpoint per rilevare e bloccare il malware è fondamentale, come mostra l’esempio di DarkGate.
Maggiori informazioni su Logpoint.com
Informazioni su Logpoint Logpoint è il produttore di una piattaforma affidabile e innovativa per le operazioni di sicurezza informatica. Con la combinazione di tecnologia avanzata e una profonda comprensione delle sfide dei clienti, Logpoint rafforza le capacità dei team di sicurezza e li aiuta a combattere le minacce attuali e future. Logpoint offre tecnologie di sicurezza SIEM, UEBA, SOAR e SAP che convergono in una piattaforma completa che rileva in modo efficiente le minacce, riduce al minimo i falsi positivi, assegna autonomamente la priorità ai rischi, risponde agli incidenti e altro ancora.