DarkGate, un malware noto dal 2018, si adatta e si evolve per sfuggire ai sistemi di rilevamento delle minacce, dimostrando l’incessante innovazione nel mondo dei cybercriminali.
Il malware DarkGate, distribuito attraverso il modello MaaS (Malware-as-a-Service), ha recentemente modificato il suo metodo di distribuzione delle fasi finali, passando dagli script AutoIt al meccanismo AutoHotkey. Questa evoluzione evidenzia l’incessante desiderio dei cybercriminali di rimanere un passo avanti rispetto ai sistemi di rilevamento delle minacce.
Le analisi hanno rivelato che tali aggiornamenti sono stati introdotti nella versione 6 di DarkGate, rilasciata nel marzo 2024 da uno sviluppatore noto come RastaFarEye. Il malware viene attivamente venduto tramite abbonamento e conta circa 30 clienti.
DarkGate, noto dal 2018, è un trojan di accesso remoto (RAT) dotato di funzionalità C2 e rootkit. Il software include moduli per il furto di credenziali, keylogging, cattura dello schermo e desktop remoto.
Le campagne di DarkGate si adattano rapidamente, modificando vari componenti per eludere il rilevamento da parte dei sistemi di sicurezza. Questa è la prima volta che si osserva l’uso di AutoHotkey per eseguire DarkGate.
Il passaggio ad AutoHotkey è stato documentato per la prima volta da McAfee Labs alla fine di aprile 2024. Gli attacchi sfruttano vulnerabilità come CVE-2023-36025 e CVE-2024-21412 per aggirare la protezione di Microsoft Defender SmartScreen utilizzando Microsoft Excel o allegati HTML nelle e-mail di phishing.
Alcuni metodi alternativi utilizzano file Excel con macro incorporate per eseguire Visual Basic Script, che a sua volta chiama comandi PowerShell che alla fine eseguono lo script AutoHotkey. Questo script scarica e decodifica il payload DarkGate da un file di testo.
La nuova versione di DarkGate include miglioramenti significativi alla configurazione, alle tecniche di evasione e ai comandi disponibili. Ora supporta la registrazione audio, i controlli del mouse e della tastiera.
La versione 6 non solo ha aggiunto nuovi comandi, ma ha anche rimosso alcune delle funzionalità delle versioni precedenti, come l’escalation dei privilegi, il cryptomining e il Virtual Network Control nascosto (hVNC). Questo potrebbe essere stato fatto per ridurre le funzionalità che potrebbero innescare il rilevamento.
È importante notare che DarkGate viene venduto a un numero limitato di clienti, il che potrebbe aver influenzato la decisione di RastaFarEye di rimuovere alcune funzionalità.
Il recente cambiamento nella funzionalità di DarkGate dimostra l’impegno degli autori di malware nell’innovazione e nel miglioramento dell’efficacia dei loro attacchi, sottolineando la necessità di un monitoraggio costante e di una risposta rapida da parte del settore della cyber security per proteggersi da minacce nuove e sofisticate.