I ricercatori di Trend Micro hanno scoperto che DarkGate è stato installato anche tramite account Skype compromessi. I cybercriminali inviano messaggi con uno script VBA che porta al download del malware sul computer. Si tratta di un nuovo metodo di distribuzione, dopo quelli che prevedono phishing e malvertising.
DarkGate: attacchi in aumento
DarkGate non è un malware recente. Le prime segnalazioni risalgono al 2017, ma gli attacchi sono aumentati da alcuni mesi. Si tratta di un loader che offre diverse funzionalità: esecuzione comandi, accesso remoto, mining di criptovalute, keylogging, escalation di privilegi e furto di dati dai browser.
I ricercatori di Trend Micro non hanno scoperto come sono stati compromessi gli account Skype (probabilmente tramite credenziali rubate), ma hanno ricostruito la catena di infezione. Dopo essere riusciti ad intrufolarsi nella conversazione aziendale, i cybercriminali hanno inviato uno script VBA che sembra un file PDF.
Quando l’ignara vittima esegue lo script viene creata una directory in cui è copiato il file legittimo curl.exe, usato per scaricare il tool AutoIt che scarica lo script fIKXNA.au3. Quest’ultimo contiene il malware DarkGate, caricato in memoria tramite shellcode iniettate in processi legittimi. Per ottenere la persistenza viene aggiunto un file LNK alla directory di esecuzione automatica.
DarkGate può scaricare altri payload, tra cui versioni aggiornate dello stesso malware, info-stealer, ransomware e miner di criptovalute. Le aziende che accettano messaggi dall’esterno dovrebbero adottare controlli più rigidi e bloccare allegati e domini. Per evitare il furto delle credenziali degli account è ovviamente consigliata l’attivazione dell’autenticazione multi-fattore. Microsoft ha comunicato che rimuoverà il supporto per VBScript in una futura versione di Windows.
Ti potrebbe interessare
16 ott 2023