Una campaña reciente de ciberamenazas ha aprovechado Microsoft Teams como vector para distribuir el malware conocido como DarkGate, utilizando tácticas avanzadas de ingeniería social.

Vector de ataque a través de Microsoft Teams

Investigadores de Trend Micro detectaron que los atacantes se hacían pasar por clientes confiables para persuadir a las víctimas de descargar software de acceso remoto. Inicialmente intentaron instalar una aplicación oficial de soporte remoto de Microsoft, pero terminaron logrando que las víctimas instalaran AnyDesk, una herramienta comúnmente utilizada para acceso remoto.

El ataque fue llevado a cabo en varias etapas:

1. Bombardeo de correos electrónicos: Las bandejas de entrada de las víctimas fueron saturadas con miles de correos fraudulentos.
2. Interacción en Microsoft Teams: Los atacantes se hicieron pasar por empleados de proveedores externos para ganar la confianza de la víctima.
3. Instalación de AnyDesk: Con el acceso remoto habilitado, los atacantes entregaron varias cargas maliciosas, entre ellas el malware DarkGate y un ladrón de credenciales.

Características del malware DarkGate

DarkGate es un troyano de acceso remoto (RAT) activo desde 2018, que ha evolucionado hacia un modelo de malware como servicio (MaaS) con una base de clientes rigurosamente controlada. Entre sus capacidades se incluyen:

• Robo de credenciales.
• Registro de pulsaciones de teclas.
• Captura de pantalla.
• Grabación de audio.
• Control remoto del escritorio.

Los análisis de Trend Micro señalan que DarkGate utiliza principalmente dos vectores de distribución:

• Scripts AutoIt.
• Scripts AutoHotKey.

En este caso, el malware fue desplegado a través de un script AutoIt. Aunque el ataque fue detenido antes de la exfiltración de datos, la sofisticación de las tácticas empleadas resalta el nivel de amenaza.

Detalles técnicos del ataque

La ejecución de AnyDesk.exe ocurrió segundos después de descargar la aplicación, usando el siguiente comando:

C:\Users\<user>\Downloads\AnyDesk.exe --local-service

Posteriormente, se observó la ejecución de cmd.exe para cargar rundll32.exe, que inició el archivo malicioso SafeStore.dll:

C:\Windows\System32\cmd.exe
rundll32.exe SafeStore.dll,epaas_request_clone

El archivo SafeStore.dll solicitó un formulario de inicio de sesión, ejecutando comandos maliciosos en segundo plano incluso si el usuario no ingresaba credenciales:

• cmd /c systeminfo: Detalles del sistema operativo y hardware.
• cmd /c route print: Tabla de enrutamiento de red.
• cmd /c ipconfig /all: Información de configuración de red.

Uso de script DarkGate A3x

El archivo ejecutable SystemCert.exe (SHA256: 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1) creó script.a3x y AutoIt3.exe en el directorio **C:\Temp\test**.

Posteriormente, el script malicioso fue ejecutado con el comando:

C:\temp\test\AutoIt3.exe C:\temp\test\script.a3x

El script se descifró a sí mismo en la memoria como shellcode, inyectándose en procesos remotos para cargar y ejecutar el malware DarkGate directamente en memoria.

Recomendaciones de seguridad

Para mitigar este tipo de ataques, se recomiendan las siguientes medidas:

1. Habilitar la autenticación multifactor (MFA).
2. Limitar el uso de herramientas de acceso remoto a una lista aprobada.
3. Bloquear la instalación de aplicaciones no verificadas.
4. Auditar rigurosamente a proveedores externos de soporte técnico.
5. Capacitar a los empleados sobre tácticas de vishing y phishing.

Fuentes consultadas:

• The Hacker News
• Trend Micro
• SOC Prime
• KnowBe4