(https://i.imgur.com/obxJhUV.png)
Los ataques que aprovechan el malware DarkGate dirigido a entidades en el Reino Unido, los EE. UU. y la India se han relacionado con actores vietnamitas asociados con el uso del infame ladrón Ducktail.
"Es muy probable que la superposición de herramientas y campañas se deba a los efectos de un mercado de delitos cibernéticos", dijo WithSecure en un informe publicado hoy. "Los actores de amenazas pueden adquirir y utilizar múltiples herramientas diferentes para el mismo propósito, y todo lo que tienen que hacer es idear objetivos, campañas y señuelos".
El desarrollo se produce en medio de un aumento en las campañas de malware que utilizan DarkGate en los últimos meses, impulsado principalmente por la decisión de su autor de alquilarlo sobre la base de malware como servicio (MaaS) a otros actores de amenazas después de usarlo de forma privada desde 2018.
No se trata solo de DarkGate y Ducktail, ya que el grupo de actores de amenazas vietnamitas responsable de estas campañas está aprovechando señuelos, temas, objetivos y métodos de entrega iguales o muy similares para ofrecer también LOBSHOT y RedLine Stealer.
Las cadenas de ataque que distribuyen DarkGate se caracterizan por el uso de scripts de AutoIt recuperados a través de un script de Visual Basic enviado a través de correos electrónicos o mensajes de phishing en Skype o Microsoft Teams. La ejecución del script AutoIt conduce a la implementación de DarkGate.
En este caso, sin embargo, el vector de infección inicial fue un mensaje de LinkedIn que redirigía a la víctima a un archivo alojado en Google Drive, una técnica comúnmente utilizada por los actores de Ducktail.
"Se han utilizado temas de campaña y señuelos muy similares para entregar Ducktail y DarkGate", dijo WithSecure, aunque la función de la etapa final difiere en gran medida.
Mientras que Ducktail funciona como un ladrón, DarkGate es un troyano de acceso remoto (RAT) con capacidades de robo de información que también establecen una persistencia encubierta en los hosts comprometidos para el acceso por puerta trasera.
"DarkGate ha existido durante mucho tiempo y está siendo utilizado por muchos grupos para diferentes propósitos, y no solo por este grupo o grupo en Vietnam", dijo el investigador de seguridad Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure.
"La otra cara de la moneda es que los actores pueden usar múltiples herramientas para la misma campaña, lo que podría oscurecer el verdadero alcance de su actividad a partir de un análisis puramente basado en malware".
Fuente: https://thehackernews.com