En noviembre de 2023, Cofense publicó un informe en el que alertaba sobre una nueva campaña de phishing que distribuía los malware DarkGate y PikaBot. Estas amenazas cibernéticas, que ya habían sido utilizadas en ataques anteriores, se caracterizan por su sofisticación y su capacidad para causar graves daños a las víctimas. En este artículo, explicaremos qué son DarkGate y PikaBot, cómo funcionan y cuáles son los riesgos asociados a su infección. También proporcionaremos consejos para protegerse de estas amenazas.
DarkGate y PikaBot son dos tipos de malware que se usan como puertas traseras, es decir, que permiten a los atacantes acceder de forma remota a los sistemas infectados y ejecutar comandos arbitrarios. Ambos malware tienen capacidades similares a las de QakBot, como robar información, registrar pulsaciones de teclado, ejecutar PowerShell, implementar una shell inversa o descargar otras cargas maliciosas.
DarkGate es un malware que se caracteriza por usar técnicas avanzadas para evadir la detección de los antivirus, como el cifrado, la ofuscación, la inyección de código o el borrado de huellas. Además, DarkGate puede detectar si se ejecuta en un entorno virtual o de análisis, y en ese caso, se autodestruye. DarkGate también puede modificar el registro de Windows para lograr la persistencia y evitar el reinicio del sistema. Según la empresa de inteligencia Sekoia, que ha publicado un informe técnico sobre el malware, DarkGate se comunica con sus servidores de control mediante el protocolo HTTP o HTTPS, y usa un formato de datos propio llamado DGMP.
Te podrá interesar leer: DarkGate: Malware se expande por Skype comprometido
PikaBot es un malware que tiene muchas similitudes con QakBot, tanto en sus métodos de distribución, como en sus campañas y su comportamiento. Así lo señaló la empresa de seguridad Zscaler en su análisis del malware en mayo de 2023. PikaBot se propaga mediante archivos adjuntos de correo electrónico que contienen macros maliciosas, que al activarse, descargan el malware desde una URL codificada. PikaBot también usa el protocolo HTTP o HTTPS para comunicarse con sus servidores de control, y puede descargar y ejecutar otros archivos maliciosos, como el troyano bancario IcedID.
Las estrategias de phishing que distribuyen variantes de malware como DarkGate y PikaBot continúan empleando tácticas previamente observadas en ataques que explotaban el ahora extinto troyano QakBot.
"Estas estrategias incluyen la utilización de cadenas de emails secuestrados para la infección inicial, URLs con patrones distintivos para restringir el acceso de los usuarios, y un proceso de infección casi idéntico al observado en la distribución de QakBot", informó Cofense. "Las familias de malware empleadas también siguen una línea similar a la que cabría esperar de los asociados de QakBot".
QakBot, conocido también como QBot y Pinkslipbot, fue desmantelado como parte de una operación coordinada de las fuerzas del orden denominada Operación Duck Hunt a principios de agosto. La elección de DarkGate y PikaBot en estas campañas no es inesperada, dado que ambos tienen la capacidad de actuar como vectores para la entrega de cargas maliciosas adicionales en sistemas comprometidos, lo que los hace atractivos para los actores de amenazas cibernéticas.
DarkGate, por otro lado, integra métodos avanzados para evitar la detección por parte de sistemas antivirus, así como funcionalidades para registrar pulsaciones de teclado, ejecutar comandos de PowerShell e implementar un shell inverso que permite a sus operadores controlar de manera remota un sistema infectado.
"La conexión es de doble sentido, permitiendo a los atacantes enviar comandos y recibir respuestas en tiempo real, facilitando la exploración del sistema de la víctima, extracción de datos o la ejecución de otras actividades malintencionadas", explicó Sekoia en un reciente informe técnico sobre el malware.
El análisis de Cofense sobre la campaña de phishing de gran escala revela que esta apunta a diversos sectores, propagando una URL engañosa que conduce a un archivo ZIP a través de hilos de correo electrónico comprometidos. Dicho archivo ZIP alberga un cuentagotas de JavaScript que, a su vez, accede a una segunda URL para descargar y ejecutar el malware DarkGate o PikaBot.
Una variante notable de estos ataques utiliza archivos complementarios de Excel (XLL) en lugar de los cuentagotas de JavaScript para desplegar las cargas maliciosas. "Una infección exitosa con DarkGate o PikaBot podría resultar en la instalación de avanzados softwares de criptominería, herramientas de reconocimiento, ransomware o cualquier otro tipo de archivo malicioso que los actores de amenazas deseen implementar en el dispositivo de la víctima", señaló Cofense.
Te podrá interesar leer: Análisis de Malware con Wazuh
Para evitar ser víctima de estas campañas de phishing, es importante seguir una serie de recomendaciones de seguridad, como las siguientes:
El phishing es una de las amenazas más frecuentes y peligrosas en el ciberespacio, y requiere de la atención y la precaución de los usuarios. Aunque se haya logrado desmantelar el troyano QakBot, que era uno de los más activos y sofisticados, sus tácticas siguen siendo usadas por otras campañas de phishing que distribuyen el malware DarkGate y PikaBot. Estos malware son capaces de comprometer los sistemas de los usuarios y causar graves daños, como el robo de información, el cifrado de archivos o la instalación de otras amenazas.
Por ello, es necesario seguir una serie de buenas prácticas de seguridad, como no abrir ni descargar archivos sospechosos, mantener actualizados los sistemas y los antivirus, usar contraseñas seguras y realizar copias de seguridad. Así, se podrá reducir el riesgo de caer en las trampas de los ciberdelincuentes.