Sommario
Le campagne di malvertising sono un mezzo sempre più utilizzato dagli attaccanti per diffondere malware. Recentemente, è stato osservato un rinnovato interesse per DarkGate, un toolkit malware multiplo identificato per la prima volta nel 2018.
Nuova versione di DarkGate
Nel luglio 2023, è stata osservata una campagna di malvertising che indirizzava le potenziali vittime verso un sito fraudolento per uno strumento di gestione IT di Windows. Questo attacco si distingue dai precedenti per il modo in cui il payload finale è stato confezionato. Il file trappola si presentava come un installer MSI contenente uno script AutoIT, in cui il payload era offuscato per evitare rilevamenti. Questo campione è stato identificato come una versione aggiornata di DarkGate.
Metodi di consegna: Malvertising e SEO Poisoning
Le campagne osservate coincidono con un annuncio del developer di DarkGate a giugno, in cui vengono elogiate le nuove capacità del malware. Mentre si indagava sulle campagne di malvertising, è stata osservata una pubblicità di Google il 13 luglio 2023 che promuoveva un popolare strumento utilizzato dagli amministratori IT, l’Advanced IP Scanner. Tuttavia, il file scaricato conteneva non solo il binario legittimo dell’Advanced IP Scanner, ma anche altri file che venivano estratti nella cartella %temp% durante l’esecuzione.
Un’altra tecnica utilizzata dagli attaccanti è il SEO poisoning, una vecchia tecnica che tenta di manipolare il sistema di classificazione dei motori di ricerca. Questo metodo è stato utilizzato per indirizzare gli utenti verso siti malevoli attraverso risultati di ricerca ingannevoli.
Protezione e rilevamento
Malwarebytes ha rilevato questo malware come Backdoor.DarkGate e il suo motore di protezione web blocca i noti server di comando e controllo. Gli utenti di Malwarebytes for Business (EDR) potrebbero vedere anche specifici avvisi relativi a queste minacce.
La sicurezza informatica è una sfida in continua evoluzione. Con l’emergere di nuove tecniche e tattiche da parte degli attaccanti, è essenziale rimanere informati e adottare misure preventive per proteggere i sistemi e i dati.
