Informes recientes señalan que Microsoft Teams se ha convertido en el canal preferido por los ciberdelincuentes para distribuir el malware conocido como DarkGate Loader.
Esta actividad ilícita es perpetrada desde dos cuentas externas de Office 365 que han sido comprometidas. Se identificaron como las responsables a las cuentas asociadas a “Akkaravit Tattamanas” (63090101@my.buu.ac.th) y “ABNER DAVID RIVERA ROJAS” (adriverar@unadvirtual.edu.co).
El DarkGate Loader hizo su primera aparición en el 2017, siendo en aquel momento de uso exclusivo por su creador. No obstante, en junio de 2023, el panorama cambió radicalmente cuando su creador empezó a promocionarlo activamente en diversas plataformas de ciberdelincuencia, ofreciéndolo como Malware-as-a-service (MaaS), es decir, malware como servicio.
Te podría interesar leer: Descubriendo los canales en Telegram de la Dark Web
A pesar de que tradicionalmente este malware se distribuía a través de correos electrónicos, los operadores del mismo han innovado al comenzar a utilizar Microsoft Teams para tal fin. La táctica empleada involucra el envío de mensajes de chat bajo la temática de recursos humanos, una estrategia claramente orientada a la ingeniería social.
En este contexto, las investigaciones han profundizado, revelando que estos chats contienen un enlace a Sharepoint externo. Este enlace dirige a los usuarios a un archivo ZIP titulado "Cambios en el calendario de vacaciones.zip". Una vez abierto, el malware se activa, poniendo en riesgo la seguridad de los sistemas de los usuarios.
Es esencial que tanto los equipos de Microsoft como los usuarios estén alerta y tomen las medidas necesarias para protegerse contra esta amenaza emergente, la cual se vale de tácticas sofisticadas y aprovecha plataformas de comunicación corporativa consolidadas para perpetrar sus ataques.
Tras descargar el mencionado archivo ZIP, los usuarios encuentran dentro un archivo LNK, que es un acceso directo disfrazado de documento PDF, etiquetado como “Cambios en el calendario de vacaciones.pdf.lnk”.
Un examen minucioso del contenido del archivo LNK demuestra que, al abrirlo, desencadena una serie de comandos ejecutables que inicializan la creación de un archivo VBScript denominado "asrxmp.vbs" en la ruta C:\tpgh\. Este archivo se ejecuta de manera automática.
El siguiente paso en la cadena de eventos es que el archivo VBScript activa la descarga de un componente desde un servidor remoto, identificado por la dirección hXXp:// 5[.]188[.]87[.]58:2351/wbzadczl, para luego ejecutarlo. Este proceso da lugar a la utilización de una versión de Windows de cURL —renombrada como wbza— que facilita la descarga y puesta en marcha del Autoit3.exe, junto con un script adicional llamado eszexz.au3.
El rol de este script AutoIT es fundamental, ya que no solo introduce otro archivo shellcode, sino que también verifica la presencia del software de seguridad Sophos antes de su ejecución. En caso de no encontrar Sophos, el script procede a desobstruir aún más su código y da inicio al shellcode.
La culminación de este proceso es la generación byte a byte de un archivo que procede a cargar un nuevo ejecutable de Windows, identificado como el malware “DarkGate loader”.
Una empresa de seguridad ha detallado este proceso de desofuscación y otros aspectos relevantes del malware DarkGate en un informe exhaustivo. Según refiere el informe, una lamentable limitación es que las funcionalidades de seguridad actuales de Microsoft Teams no han sido suficientes para detectar y frenar este ataque. La identificación del ataque fue posible gracias a la preparación en seguridad de los destinatarios.
Educación y Concienciación:
- Formación continua: Ofrecer talleres y seminarios regulares para educar a los empleados sobre las últimas amenazas de ciberseguridad.
- Simulacros de phishing: Realizar pruebas periódicas con simulacros de phishing para enseñar a los empleados a identificar mensajes sospechosos.
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Políticas de Seguridad Estrictas:
- Lista blanca de dominios: Crear una lista blanca de dominios confiables para evitar la entrada de mensajes de fuentes no verificadas.
- Restricciones de descarga: Implementar políticas que restrinjan la descarga de archivos de fuentes no confiables, especialmente archivos ejecutables.
Herramientas y Soluciones de Seguridad:
- Antivirus y antimalware: Asegurarse de tener soluciones antivirus y antimalware robustas y actualizadas.
- Firewall: Utilizar un firewall bien configurado para bloquear accesos no autorizados.
Gestión de Accesos y Control:
- Privilegios mínimos: Otorgar a los trabajadores el nivel mínimo de privilegios necesario para realizar sus tareas, limitando así el potencial daño que un malware puede hacer.
- Monitoreo constante: Establecer sistemas de monitoreo constante para detectar cualquier actividad sospechosa en la red.
Respuesta Rápida ante Incidentes:
- Plan de respuesta a incidentes: Desarrollar un plan de respuesta rápida para actuar inmediatamente en caso de una brecha de seguridad.
- Copias de seguridad: Mantener copias de seguridad regulares de datos importantes para facilitar la recuperación en caso de un ataque exitoso.
Colaboración y Comunicación:
- Comunicación interdepartamental: Fomentar una comunicación fluida entre diferentes departamentos para una respuesta coordinada ante cualquier incidente de seguridad.
- Reporte de incidentes: Establecer canales claros para el reporte de incidentes de seguridad, permitiendo una rápida escalada y respuesta.
Análisis Forense:
- Análisis post-incidente: Tras un incidente de seguridad, llevar a cabo un análisis forense para entender cómo ocurrió y cómo se puede prevenir en el futuro.
- Mejora continua: Utilizar los hallazgos de los análisis forenses para mejorar continuamente las políticas y procedimientos de seguridad.
Podría interesarte leer: Análisis Forense Digital: ¿Cómo Recuperar Datos Perdidos?
Implementando estas medidas, las organizaciones pueden fortalecer significativamente su postura de seguridad y protegerse contra amenazas como el malware DarkGate.
¿Sabías que el Malware DarkGate está en alza y puede representar una amenaza significativa para tu negocio? En TecnetOne, estamos aquí para ayudarte a blindar tus sistemas contra este y otros malwares peligrosos.
Opta por nuestro SOC as a Service y obtén:
- Vigilancia continua: Nuestro equipo está monitorizando las amenazas 24/7 para garantizar una respuesta rápida ante cualquier indicio de malware.
- Respuesta ágil: Actuamos con rapidez para mitigar los efectos de cualquier brecha de seguridad, minimizando el impacto en tu negocio.
- Prevención proactiva: Con TecnetOne, estarás un paso adelante de los ciberdelincuentes, gracias a nuestras estrategias de prevención proactiva.