Investigadores de ciberseguridad han revelado detalles sobre una breve campaña del malware DarkGate que aprovechó los recursos compartidos de archivos Samba para iniciar infecciones.
Palo Alto Networks – Unit 42: Esta actividad se desarrolló durante marzo y abril de 2024. Las cadenas de infección utilizaron servidores con recursos compartidos de archivos Samba públicos, que alojaban archivos Visual Basic Script (VBS) y JavaScript. Los objetivos incluían América del Norte, Europa y Asia.
La campaña documentada comienza con archivos de Microsoft Excel (.xlsx) que, al abrirse, instan a los objetivos a hacer clic en un botón incrustado para obtener y ejecutar código VBS (también JavaScript en secuencias alternativas) desde un recurso compartido de archivos Samba. El script de PowerShell está diseñado para obtener y ejecutar otro script de PowerShell, el cual posteriormente descarga un paquete de DarkGate basado en AutoHotKey.
Escanea varios programas antimalware y verifica la información de la CPU para determinar si está en un host físico o virtual. También examina los procesos en ejecución del host para detectar herramientas de ingeniería inversa, depuradores o software de virtualización.
El tráfico de DarkGate C2 utiliza solicitudes HTTP sin cifrar, pero los datos están ofuscados y aparecen como texto codificado en Base64.
«DarkGate«, apareció por primera vez en 2018, se ha convertido en un servicio de malware (MaaS | Malware as a Service) utilizado por un grupo selecto de clientes. Sus capacidades incluyen el control remoto de hosts comprometidos, ejecución de código, minería de criptomonedas, lanzamiento de shells inversos y entrega de cargas adicionales.
Fuente:
DarkGate Malware Exploits Samba File Shares in Short-Lived Campaign
Ciberprisma - alianza por la ciberseguridad 