Ataques cibernéticos envolvendo a operação de malware-as-a-service (MaaS) DarkGate mudaram de scripts AutoIt para um mecanismo AutoHotkey para entregar as etapas finais, destacando os esforços contínuos dos atores de ameaças para se manterem à frente da curva de detecção.

As atualizações foram observadas na versão 6 do DarkGate lançada em março de 2024 pelo desenvolvedor RastaFarEye, que vem vendendo o programa em uma base de assinatura para até 30 clientes. O malware está ativo desde pelo menos 2018.

Um cavalo de Troia de acesso remoto (RAT) totalmente equipado, o DarkGate possui capacidades de comando e controle (C2) e rootkit, e incorpora vários módulos para roubo de credenciais, keylogging, captura de tela e desktop remoto.

“Campanhas do DarkGate tendem a se adaptar muito rapidamente, modificando diferentes componentes para tentar evitar soluções de segurança”, disse o pesquisador de segurança da Trellix Ernesto Fernández Provecho em uma análise na segunda-feira. “Esta é a primeira vez que encontramos o DarkGate usando AutoHotKey, um interpretador de script não tão comum, para lançar o DarkGate.”

Vale ressaltar que a mudança do DarkGate para o AutoHotKey foi primeiro documentada pelo McAfee Labs no final de abril de 2024, com cadeias de ataque que exploram falhas de segurança, como CVE-2023-36025 e CVE-2024-21412, para contornar as proteções do Microsoft Defender SmartScreen usando um anexo do Microsoft Excel ou HTML em e-mails de phishing.

Métodos alternativos foram encontrados para alavancar arquivos do Excel com macros incorporadas como um conduto para executar um arquivo de script Visual Basic responsável por invocar comandos do PowerShell para finalmente lançar um script do AutoHotKey, que, por sua vez, recupera e decodifica a carga do DarkGate de um arquivo de texto.

A última versão do DarkGate traz melhorias substanciais em sua configuração, técnicas de evasão e na lista de comandos suportados, que agora incluem recursos de gravação de áudio, controle do mouse e gerenciamento de teclado.

“O Versão 6 não apenas inclui novos comandos, mas também carece de alguns de versões anteriores, como a escalada de privilégios, a mineração de criptomoedas ou a hVNC (Hidden Virtual Network Computing)”, disse Fernández Provecho, acrescentando que pode ser um esforço para eliminar recursos que poderiam possibilitar a detecção.

“Além disso, como o DarkGate é vendido para um pequeno grupo de pessoas, também é possível que os clientes não estivessem interessados nesses recursos, forçando a RastaFarEye a removê-los”.

A divulgação ocorre à medida que criminosos cibernéticos vêm abusando do Docusign ao vender templates de phishing personalizáveis e legítimos em fóruns clandestinos, transformando o serviço em um terreno fértil para phishers em busca de roubar credenciais para golpes de phishing e comprometimento de e-mail corporativo (BEC).

“Esses e-mails fraudulentos, meticulosamente projetados para imitar solicitações de assinatura de documento legítimas, atraem destinatários desavisados para clicar em links maliciosos ou divulgar informações sensíveis”, disse a Abnormal Security.

Campanhas do DarkGate baseadas em AutoHotKey visam os EUA, Europa e Ásia

A Cisco Talos, em um novo relatório publicado em 5 de junho de 2024, disse ter descoberto campanhas de malware DarkGate usando scripts AutoHotKey como parte de ataques de phishing destinados principalmente aos setores de tecnologia de saúde, telecomunicações e fintech nos Estados Unidos, Europa e Ásia.

“O processo de infecção começa quando o documento do Excel malicioso é aberto”, disse o pesquisador de segurança Kalpesh Mantri. “Esses arquivos foram especialmente elaborados para utilizar uma técnica chamada ‘Injeção Remota de Modelo’ para acionar o download automático e a execução de conteúdos maliciosos hospedados em um servidor remoto.”

(A história foi atualizada após a publicação para incluir informações adicionais da Cisco Talos.)