Recentemente, i ricercatori di cybersecurity hanno messo in luce una campagna di malware DarkGate che ha sfruttato le condivisioni di file Samba per avviare le infezioni. Questa attività, documentata da Palo Alto Networks Unit 42, si è svolta tra marzo e aprile 2024, utilizzando server con condivisioni di file Samba pubblicamente accessibili che ospitavano file Visual Basic Script (VBS) e JavaScript. Gli obiettivi principali includevano Nord America, Europa e alcune parti dell'Asia.

DarkGate, emerso per la prima volta nel 2018, è evoluto in un'offerta di malware-as-a-service (MaaS) utilizzata da un numero ristretto di clienti. Questo malware offre funzionalità per controllare da remoto i sistemi compromessi, eseguire codice, minare criptovalute, lanciare shell inverse e scaricare payload aggiuntivi. Gli attacchi che coinvolgono DarkGate hanno visto un aumento significativo negli ultimi mesi, soprattutto dopo lo smantellamento dell'infrastruttura QakBot da parte delle forze dell'ordine internazionali nell'agosto 2023.

La campagna documentata inizia con file Microsoft Excel (.xlsx) che, quando aperti, invitano gli utenti a cliccare su un pulsante Open incorporato. Questo clic avvia l'esecuzione di codice VBS ospitato su una condivisione di file Samba. Il codice VBS è configurato per recuperare ed eseguire uno script PowerShell, utilizzato successivamente per scaricare un pacchetto DarkGate basato su AutoHotKey. Sequenze alternative utilizzano file JavaScript al posto dei VBS, ma il risultato è lo stesso: il download e l'esecuzione dello script PowerShell di follow-up.

DarkGate è progettato per scansionare vari programmi anti-malware e controllare le informazioni della CPU per determinare se il malware è in esecuzione su un host fisico o virtuale, ostacolando così l'analisi. Esamina anche i processi in esecuzione sull'host per rilevare la presenza di strumenti per il reverse engineering, debugger o software di virtualizzazione.

Il traffico C2 (command and control) di DarkGate utilizza richieste HTTP non criptate, ma i dati sono offuscati e appaiono come testo codificato Base64. Questo metodo permette al malware di nascondere le sue comunicazioni, rendendo più difficile per gli analisti di sicurezza rilevare e bloccare le attività malevole.

La rivelazione di questa campagna arriva mentre Proofpoint ha scoperto che un distributore di spam noto come TA571 ha utilizzato DarkGate come parte di una campagna globale che ha tentato di infiltrarsi in oltre 1.000 organizzazioni, vendendo poi l'accesso ad altri attaccanti per ulteriori sfruttamenti. Questo attacco ha coinvolto 14.000 campagne e più di 1.300 varianti di malware, evidenziando come DarkGate agisca come un broker di accesso iniziale (IAB), con l'intento di ottenere accesso non autorizzato alle reti, ai sistemi e alle credenziali degli utenti per esfiltrare dati o distribuire ransomware.

Tweet