Un informe reciente reveló una breve campaña de malware llamada DarkGate, que aprovechó los archivos compartidos de Samba para llevar a cabo sus ataques. La actividad tuvo lugar entre marzo y abril de 2024 y afectó a servidores que ejecutaban archivos compartidos de Samba con acceso público y que alojaban archivos de Visual Basic Script (VBS) y JavaScript. Los objetivos de la campaña incluyeron América del Norte, Europa y partes de Asia.
Esta campaña, identificada por el equipo de investigación de ciberseguridad de Palo Alto Networks Unit 42, refleja cómo los actores de amenazas pueden abusar de formas creativas de herramientas y servicios legítimos para distribuir malware. DarkGate, que inicialmente surgió en 2018, ha evolucionado para convertirse en un malware como servicio (MaaS), utilizado por un número limitado de clientes. Este malware posee capacidades para controlar de forma remota hosts comprometidos, ejecutar código, minar criptomonedas, lanzar terminales inversas y dejar cargas adicionales.
Tras la intervención de las fuerzas de seguridad en la infraestructura de QakBot en agosto de 2023, los ataques que involucran DarkGate han experimentado un aumento. La campaña documentada por Unit 42 comienza con archivos de Microsoft Excel (.xlsx) que al abrirse instan a los objetivos a hacer clic en un botón «Abrir incrustado», que a su vez ejecuta código VBS alojado en un archivo compartido de Samba. El malware DarkGate trabaja escaneando varios programas antivirus y verificando la información de la CPU para obstaculizar el análisis. El tráfico C2 de DarkGate utiliza solicitudes HTTP no cifradas, pero los datos están ofuscados y aparecen como texto codificado en Base64. Este informe es un recordatorio de la importancia de defensas sólidas y proactivas en ciberseguridad.
‘
Vía The Hacker News
