DarkGate

¿Qué es?

DarkGate, también conocido como Meh y MehCrypter, es un malware de tipo troyano loader multifuncional con características de minero, stealer, downloader, backdoor y RAT, que se ofrece como Malware as a Service (MaaS) y se enfoca en infectar dispositivos Windows para robar credenciales y datos sensibles, preparar ataques con el despliegue de otros payloads y explotar los sistemas para criptominería y otros fines financieros. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Establece comunicación con servidores de mando y control (C2) para recibir instrucciones (característica de backdoor).
• Implementa hVNC (Hidden Virtual Network Computing) y shells remotos para facilitar el control de los atacantes sin que el conocimiento de los usuarios (característica de RAT).
• Descarga y ejecuta payloads en memoria y en disco (característica de loader o de downloader, según el caso) para preparar despliegues y ataques de otros troyanos, herramientas de acceso inicial y/o familias de ransomware.
• Extrae contraseñas, cookies, tokens de sesión y datos de navegadores, como accesos a cuentas y sesiones web, entre otros (característica de stealer).
• Roba credenciales de RDP y otras contraseñas almacenadas (característica de stealer).
• Incluye módulos de keylogging y captura de portapapeles y guarda los datos en ficheros de registro vinculados a la fecha de los sistemas (característica de stealer).
• Ejecuta módulos de minería de criptomonedas en segundo plano (característica de minero).
• Roba credenciales o claves de monederos de criptomonedas (característica de stealer).
• Se usa como herramienta de acceso inicial y recogida de datos para preparar despliegues de ransomware.
• Puede ajustar su configuración para habilitar o deshabilitar módulos específicos de otros programas maliciosos.
• Crea cuentas locales, modifica el registro de Windows, emplea ofuscación y mutex personalizados para evadir detección y generar persistencia.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing con archivos adjuntos maliciosos, a través de mensajes con enlaces o ficheros comprometidos en plataformas de mensajería instantánea (Teams, Skype...), a través del uso de anuncios maliciosos (malvertising) y resultados manipulados por posicionamiento fraudulento (SEO poisoning) relacionados con herramientas legítimas, pero con instaladores falsos, a través de software pirata o no oficial que incluye el programa malicioso y a través de vulnerabilidades de seguridad de los dispositivos.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Vishing via Microsoft Teams Facilitates DarkGate Malware Intrusion (Trend Micro)
• DarkGate: Dancing the Samba With Alluring Excel Files (Palo Alto)
• Neutralización de ciberseguridad del mes: contrarrestar los ataques de malware DarkGate desde la playa (Proofpoint)
• Malware DarkGate: Atacantes explotan archivos Samba (A3Sec)
• Trojan.DarkGate (Malwarebytes)
• Darkgate (Mitre ATT&CK)
• Darkgate (Malpedia)