Malware DarkGate alugado para aspirantes a hackers

Uma nova operação de malspam foi identificada, implantando um software malicioso prontamente disponível, conhecido como DarkGate.

A Telekom Security, em um relatório recente, afirmou que o aumento da atividade do malware DarkGate pode ser razoavelmente atribuído ao fato de que seu desenvolvedor começou recentemente a alugá-lo para um grupo seleto de associados.

Este último relatório baseia-se em descobertas recentes feitas pelo investigador de segurança Igal Lytzki, que descobriu uma campanha caracterizada pela sua natureza em grande escala. Esta campanha explora threads de e-mail comprometidos para enganar os destinatários e fazê-los baixar o malware.

O ataque começa com um URL enganoso em uma tentativa de phishing. Ao clicar, esse URL navega por um sistema de direção de tráfego (TDS), direcionando a vítima para uma carga MSI que é acionada sob condições específicas. Estas condições envolvem a presença de um cabeçalho de atualização na resposta HTTP.

Ao abrir o arquivo MSI, um procedimento de várias etapas é ativado. Isso envolve o uso de um script AutoIt para executar o shellcode, que serve como um canal para descriptografar e iniciar o DarkGate por meio de um criptografador (ou carregador).

Para ser mais específico, o carregador foi projetado para dissecar o script AutoIt e extrair a instância criptografada do malware. Em uma versão alternativa dos ataques, um script Visual Basic é observado no lugar do arquivo MSI. Este script, por sua vez, emprega cURL para buscar o executável e o arquivo de script do AutoIt. O método preciso de entrega do script VB permanece desconhecido.

DarkGate vendido na Dark Web

DarkGate, comercializado principalmente em fóruns clandestinos por um indivíduo conhecido como RastaFarEye, possui recursos que lhe permitem escapar da detecção por software de segurança. Ele pode estabelecer persistência fazendo alterações no Registro do Windows, aumentar privilégios e roubar dados de navegadores da web e outros aplicativos, como Discord e FileZilla.

Além disso, estabelece comunicação com um servidor de comando e controle (C2) para listar arquivos, realizar exfiltração de dados, iniciar mineração de criptomoedas, capturar capturas de tela remotamente e executar outros comandos.

Esse malware está disponível por meio de um modelo de assinatura, com preços que variam de US$ 1.000 por dia a US$ 15.000 por mês e até US$ 100.000 por ano. O autor o promove como a “ferramenta definitiva para pentesters/redteamers” e destaca seus recursos exclusivos. Curiosamente, as versões anteriores do DarkGate incluíam até um módulo de ransomware.