.

A família de malware DarkGate se tornou mais prevalente nos últimos meses depois que um de seus principais concorrentes foi derrubado pelo FBI.

O malware foi descoberto pelo especialista em segurança da empresa de segurança de endpoint enSilo, Adi Zeligson, em 2018, mas evoluiu ao longo dos anos. A versão mais recente, detectada pela Spamhaus no final de janeiro, adicionou novos recursos.

O software desagradável, cujo desenvolvedor atende pelo apelido RastaFarEye, pode ser usado para tudo, desde keylogging, até roubo de dados e credenciais, e até mesmo acesso remoto – que pode então ser usado para implantar ransomware. As infecções DarkGate dão aos usuários controle completo sobre os computadores.

O código também contém vários recursos de evasão.

Os vetores de infecção também são abundantes: infecções foram detectadas como resultado de engenharia social e e-mails de phishing, além de sideload de DLL, conteúdo envenenado em serviços de compartilhamento de arquivos acessíveis ao público e sites comprometidos.

O malware, portanto, se tornou popular entre as equipes de crimes cibernéticos – e ainda mais nos últimos meses.

“O DarkGate é um que tem sido grande desde setembro do ano passado”, disse Daniel Blackford, diretor de pesquisa de ameaças da Proofpoint. O registro.

A equipe de caça a ameaças de Blackford detectou recentemente uma gangue que rastreia como TA571 usando o DarkGate para obter acesso a mais de 1.000 organizações.

Mais de 14 mil campanhas usando DarkGate

A Proofpoint documentou 14.000 campanhas nas quais o TA571 usou o DarkGate para obter acesso, depois roubar credenciais e dados valiosos, implantar ransomware e depois vender esse acesso às redes das vítimas. Esses ataques também continham mais de 1.300 variantes diferentes de malware, nos disseram.

A flexibilidade do DarkGate e os muitos vetores de infecção tornam a atribuição mais difícil para os defensores da rede.

“Se você tem nove conjuntos de atividades diferentes usando o DarkGate, que é algo que já vimos uma vez, como você sabe? Você tem a telemetria disponível para, com alta confiança, diferenciar esses conjuntos de atividades? É muito difícil sem uma boa coleta”, disse Blackford.

A equipe de segurança da Unidade 42 da Palo Alto Networks também observou um aumento no uso do DarkGate desde setembro de 2023.

A queda do QBot dá origem ao DarkGate

O momento desse aumento, de acordo com ambas as empresas de segurança, não é uma coincidência. Ele coincidiu com o esforço de aplicação da lei liderado pelo FBI para interromper o QBot (também conhecido como Qakbot) e a infraestrutura daquele notório botnet e carregador de malware em agosto de 2023.

“Após a queda do QBot, vimos o ator principal que estava distribuindo o QBot mudar para o DarkGate, e então vários outros atores seguiram o exemplo”, disse Blackford. “Você tem esse padrão de seguir o líder.”

Desde agosto passado, a Unidade 42 também relatou ter visto diversas campanhas distribuindo DarkGate, que a unidade de inteligência de ameaças diz que também anuncia computação de rede virtual oculta, criptomineração e controle remoto de shell reverso entre seus recursos maliciosos.

Em um relatório de 10 de julho, a Palo Alto detalhou uma campanha que começou em março e usou arquivos do Microsoft Excel como ponto de partida. Esses arquivos continham uma URL que direcionava as vítimas para um compartilhamento de arquivos Samba/SMB público com o objetivo de enganar as vítimas para que baixassem o DarkGate em seus dispositivos.

Os ataques “principalmente tiveram como alvo a América do Norte no início, mas lentamente se espalharam para a Europa e também para partes da Ásia”, de acordo com Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh e Brad Duncan da Unidade 42. “Nossa telemetria indica alguns picos de atividade, com destaque para 9 de abril de 2024, com quase 2.000 amostras naquele único dia.”

O relatório da Unidade 42 também encontrou evidências de que “parece ter havido exfiltração de dados em cinco solicitações HTTP POST, enviando quase 218 KB de dados”.

Perícia em evasão

O DarkGate também usa várias técnicas de evasão para evitar ser detectado. Isso inclui criptografi

4 views Jul 11, 2025
Hackers afirmam ter vazado 1,1 TB de mensagens do Disney Slack O órgão de fiscalização do Reino Unido recebe uma reclamação de que a Meta está coletando dados de usuários para IA • st