Gracias por visitar la tienda de MÉXICO HP
¿Sabías que existen ciertas actividades cotidianas que parecen inofensivas, pero ocultan un grave peligro detrás? Tal vez un archivo adjunto enviado por un amigo, un correo con un nombre llamativo sobre las vacaciones… haces clic y cuando menos te lo esperas descubres que has sido víctima de phishing o algún malware capaz de hacer un gran daño, como en el caso de DarkGate.
En este artículo nos enfocaremos en DarkGate Loader y sus más recientes ataques que han puesto en jaque los servicios de mensajería como Teams y Skype. Pero primero, repasemos el impacto que ha tenido el malware en los últimos años.
Desde que la economía volvió a activarse y los equipos remotos o híbridos se volvieron más comunes, las amenazas también han evolucionado, llegando a una sofisticación en sus métodos. Esto es evidente en el Panorama de Amenazas para América Latina de Kaspersky, el cual indica que comparando los datos de 2021 - 2022 y de 2022 - 2023 hubo un aumento de 617% en ataques de malware contra computadoras y dispositivos móviles.
Ejemplo de ello es México, que se postula en el segundo lugar de entre los países más afectados, registrando 43 millones de ataques en este periodo. Asimismo, vale la pena tener en cuenta que 4 de cada 10 intentos de phishing se dirigen a datos financieros.
Además de las técnicas de malware ya conocidas, se les suman nuevos riesgos, como el uso de IA para crear contenidos fraudulentos de forma automatizada, o bien la creciente oferta de MaaS (Malware as a Service o Malware como Servicio).
Este es un malware básico pero versátil que puede convertirse en una amenaza multifacética. Se identificó por primera vez en 2018 y se sabe que es capaz de extraer datos confidenciales de navegadores web, minar criptomonedas, ejecutrar shell inverso, registrar teclas, controlar sistemas infectados o incluso descargar otros malwares como el Remcos RAT, un troyano de acceso remoto y una de las diez variantes principales de malware.
El proceso de infiltración de DarkGate es simple, pero eficaz: el malware aprovecha las plataformas de mensajería para enviar un script de Visual Basic para Aplicaciones (VBA) que se hace pasar por un documento PDF. Cuando una persona abre este archivo, se inicia la descarga y ejecución de un script Autolt que desencadena el malware.
De esta forma, este malware se aprovecha de la confianza que normalemente se deposita en las aplicaciones de mensajería y los contactos con los que nos comunicamos a través de estas para infiltrarse e infectar los equipos. Todavía no se ha identificado el método que los ciberdelincuentes utilizan para comprometer las cuentas originales. Trend Micro, empresa de ciberseguiridad, sugiere que podría deberse a credenciales filtradas u organizaciones con seguridad comprometida.
Además, Trend Micro señala que los ataques se han registrado principalmente en América, pero otros continentes no están a salvo de ser víctimas de este malware. Desde junio de 2023 hasta la fecha, el malware ha vuelto a hacer sonar las alarmas. Esto se debe a que su creador decidió ofrecerlo en foros clandestinos como MaaS, lo que ha permitido que otros usuarios saquen provecho de él, aumentando su propagación en comparación con su primera detección..
Como se mencionó anteriormente, en junio de 2023 comenzaron a reportarse ataques utilizando aplicaciones de mensajería como Skype y Teams. Con el tiempo se identificaron dos cuentas externas de Offices 365 desde las que fueron perpetrados estos ataques: “Akkaravit Tattamanas” (63090101@my.buu.ac.th) y “Abner David Rivera Rojas” (driverar@unadvirtual.edu.co).
Uno de los métodos más comunes era a través de mensajes que se hacían pasar por anuncios de recursos humanos, como por ejemplo, mensajes anunciando 'Cambios en el calendario de vacaciones'. La ingeniería social jugaba un papel crucial en este tipo de ataques, ya que al tratarse de un tema de relevancia para muchos empleados, muchos caían en el phishing rápidamente.
Ahora bien, el VB Script que mencionamos anteriormente funcionaba gracias a un archivo LNK, el cual es un acceso directo de Windows que sirve para abrir un documento, carpeta o aplicación. Estos archivos están basados en el formato de archivo binario Shell Link. Además, para evadir la detección de malware, el proceso de descarga usaba Windows cURL (Curl Request Library, que permite la transferencia de datos entre ordenadores interconectados) para así recuperar los archivos ejecutables del script del malware.
Adicionalmente, el script oculta un código malicioso en medio del archivo, utilizando ciertos bytes que están vinculados a scripts de AutoIT. Cabe destacar que este script tiene la capacidad de verificar si el antivirus Sophos está instalado en el ordenador. En caso de no detectarlo, procede a iniciar el shellcode, un conjunto de órdenes para ejecutar tareas maliciosas, que construye el ejecutable de DarkGate y lo carga en la memoria.
En febrero de 2024 Microsoft corrigió el fallo de “día cero” que les permitió a los ciberdelincuentes atacar desde Teams, sin embargo, la vulnerabilidad de Windows SmartScreen ya había sido explotada para tratar de atacar a las instituciones financieras.
A su vez, Microsoft le recordó a los administradores la importancia de utilizar configuraciones seguras y tomar medidas como tener listas de permitidos de alcance limitado y procurar mantener al mínimo la comunicación con externos de no ser estrictamente necesaria.
A continuación, te presentamos algunas medidas que puedes tomar para mitigar las probabilidades de caer en uno de estos ataques:
No abras archivos de Microsoft Office con MACROS a menos que tengas comunicaciódn directa con el remitente y confirme que se envió bajo estrictas normas de seguridad, como pueden ser archivo cifrado, entre otras.
Revisa cuidadosamente el nombre del archivo y evita abrir aquellos que cuenten con extensiones como “exe” “vbs” y “scr”.
Actualiza tu equipos para obtener las últimas versiones de Windows y así confirmar que esté corregida cualquier vulnerabilidad detectada.
Escanea con un antivirus los archivos adjuntos antes de intentar abrirlos, especialmente cuando se trate de cuentas externas.
Por lo general, las campañas de phishing tienen faltas de ortografía o errores en su diseño, así que tómate el tiempo de revisar el contenido del mensaje y desconfía de correos con errores.
Ten cuidado con los mensajes que muestran un tono de urgencia. Es muy probable que sea una estrategia de ingeniería social para que tomes una decisión apresurada.
Jamás deshabilites funciones de seguridad, en especial si un correo, documento o mensaje instantáneo lo solicita.
Aplica respaldos periódicos que estén fuera de la red organizacional.
En caso de que identifiques que tu equipo ha sido infectado, es importante que mantengas la calma y estés preparado para manejar la situación. En primer lugar, se recomienda desconectar el equipo de Internet a fin de bloquear la posibilidad de que la infección se expanda a otros equipos.
También se recomienda acudir a un experto para contener el problema, de igual manera es importante realizar un análisis completo del sistema para detectar las amenazas y de ser necesario realizar una limpieza manual, para ello es necesario identificar el tipo de malware para seguir el método adecuado de limpieza.
Otro consejo útil es cambiar las contraseñas de correos, redes sociales, aplicaciones y servicios que requieran autorización para reducir la posibilidad de un robo de credenciales. En estos casos una autenticación de factor múltiple (MFA) también será de gran ayuda.
No hay que olvidar que la prevención es mejor que buscar una cura, por lo que implementar un protocolo de seguridad y contar con soluciones de seguridad integradas a tu equipo, como HP Wolf Security, es una buena medida para evitar ser víctima de estos ataques.
DarkGate es un malware con un sistema que permite que se propague por mensajería sin ser detectado, haciéndose pasar por un PDF. Además de la tecnología que utiliza, la ingeniería social empleada en estos correos es muy efectiva, pues busca causar un sentido de urgencia al proponer un escenario de Recursos Humanos o una persona de confianza con alguna necesidad.
Los ataques de DarkGate incrementaron a partir del 2023, cuando su creador decidió ofrecer este ataque como un MaaS, lo que le dio la oportunidad a otras persona para usarlo con los propósitos que deseen.
En estos casos, lo más recomendable es mantener actualizado Windows para evitar vulnerabilidades, revisar las extensiones y el contenido en busca de algún rastro sospechoso y contar con HP Wolf Security, entre otras posibles medidas.
Artículos relacionados: