No cenário de ameaças cibernéticas em constante evolução, as agências de aplicação da lei têm visto progresso na descoberta do DarkGate, desenvolvedores de malware, atores de ameaças e gerentes de fóruns.
Ao mesmo tempo, têm assumido cada vez mais o controlo dos servidores de comando e controlo, perturbando as redes de distribuição de malware. Neste ambiente dinâmico, o surgimento de novos players e a adaptação dos players existentes não é coincidência. Um exemplo recente dessa evolução é o surgimento do malware morphing, que mostra os atores da ameaça mudando de nome e modificando famílias de malware. Após o desmantelamento da infraestrutura Qbot, a propagação do DarkGate aumentou significativamente, destacando a evolução contínua das ameaças cibernéticas.
DarkGate, PikaBot e Qakbot
A Cofense encontrou semelhanças entre as campanhas de phishing DarkGate e PikaBot que dependem de técnicas Qakbot. Isto indica possíveis conexões ou adaptações desconhecidas de técnicas existentes e destaca a complexidade das ameaças cibernéticas modernas. DarkGate, também conhecido como MehCrypter, atua tanto como um malware carregador quanto como um RAT e, portanto, pode realizar várias ações maliciosas. Isso inclui o roubo de dados confidenciais e o uso de mineradores de criptomoedas. O malware é distribuído principalmente por meio de phishing, geralmente por meio de tópicos relacionados a atualizações de navegadores, bem como por meio de malvertising e envenenamento de SEO. Um recurso especial é o uso do Autolt, uma linguagem de script para automatizar a GUI do Windows e tarefas comuns de script. Este recurso permite aos usuários criar scripts que automatizam tarefas como pressionar teclas e movimentos do mouse, o que é particularmente útil para instalação de software e administração de sistema.
O malware também é distribuído por meio de temas falsos de atualização do navegador. URLs de phishing e sistemas de distribuição de tráfego são usados para baixar a carga maliciosa. A propagação do malware também foi observada por meio do Microsoft Teams, onde os invasores se passaram por CEOs de empresas e enviaram convites para o Teams como parte de suas táticas de engano. Usar sistemas de proteção de endpoint para detectar e bloquear malware é fundamental, como mostra o exemplo do DarkGate.
Mais em Logpoint.com
Sobre LogPoint A Logpoint é fabricante de uma plataforma confiável e inovadora para operações de segurança cibernética. Com a combinação de tecnologia avançada e um profundo conhecimento dos desafios dos clientes, a Logpoint fortalece as capacidades das equipes de segurança e as ajuda a combater ameaças atuais e futuras. A Logpoint oferece tecnologias de segurança SIEM, UEBA, SOAR e SAP que convergem em uma plataforma completa que detecta ameaças com eficiência, minimiza falsos positivos, prioriza riscos de forma autônoma, responde a incidentes e muito mais.