Categorie
Sicurezza Informatica

DarkGate usa file Excel per diffondere malware

DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come proteggere i tuoi sistemi.

Recentemente, Palo Alto Networks ha scoperto una campagna malware che utilizza file Excel per distribuire DarkGate, un malware sofisticato che ha subito un’evoluzione significativa negli ultimi anni. La campagna, che si è svolta tra marzo e aprile 2024, illustra come i criminali informatici possano abusare creativamente di strumenti legittimi per diffondere il loro malware.

Evoluzione di DarkGate

DarkGate è stato segnalato per la prima volta nel 2018 e si è evoluto in un’offerta di malware-as-a-service (MaaS). Dopo la disgregazione dell’infrastruttura Qakbot nell’agosto 2023, si è assistito a un aumento significativo delle attività legate a DarkGate. Questo malware è noto per le sue capacità di esecuzione di codice remoto, cryptomining e reverse shell.

Meccanismo di distribuzione

La campagna di marzo-aprile 2024 ha visto l’uso di file Microsoft Excel (.xlsx) per scaricare pacchetti malware da condivisioni di file SMB accessibili al pubblico. I file Excel utilizzati in questa campagna contenevano oggetti collegati che, quando cliccati, avviavano il download di file dannosi da server Samba/SMB.

Procedura di infezione

Quando l’utente apre il file Excel e clicca sul pulsante “Apri”, viene avviato un processo che scarica un file VBS o JS da una condivisione SMB. Questo file script esegue poi un comando PowerShell che scarica e avvia il pacchetto DarkGate basato su AutoHotKey. I file scaricati includono un binario AutoHotKey legittimo, un file script e un file di testo che contiene il codice shell per l’esecuzione finale del malware.

Tecniche di evasione

DarkGate utilizza varie tecniche per evitare la rilevazione, tra cui:

  • Controllo della presenza di software anti-malware, come Kaspersky, e adattamento del comportamento per evitare il rilevamento.
  • Verifica delle informazioni della CPU per determinare se il malware è in esecuzione in un ambiente virtuale o su un host fisico.
  • Scansione dei processi in esecuzione per identificare e disabilitare eventuali strumenti di analisi malware.

Analisi della configurazione

Il malware DarkGate decripta i suoi dati di configurazione utilizzando chiavi XOR codificate. Questi dati includono informazioni critiche come l’identificatore della campagna e l’indirizzo del server C2. L’analisi dei dati di configurazione può rivelare dettagli interessanti sui campioni di malware e sulle campagne di attacco in corso.

Traffico C2 di DarkGate

Il traffico C2 di DarkGate utilizza richieste HTTP non crittografate, ma i dati sono offuscati e appaiono come testo codificato in Base64. Questo traffico include richieste di esfiltrazione di dati, che possono rivelare informazioni sensibili rubate dai sistemi infetti.

DarkGate rappresenta una minaccia significativa e adattabile nell’ecosistema del cybercrimine, riempiendo il vuoto lasciato dalla disgregazione di Qakbot. Le sue tecniche di infezione avanzate e la sua capacità di evolversi continuamente lo rendono un avversario formidabile per le difese informatiche. Secondo Palo Alto, è fondamentale che le organizzazioni implementino misure di sicurezza robuste e proattive per proteggersi da questa e altre minacce simili.

Annunci

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version