DarkGate: Il malware sofisticato che minaccia i sistemi Windows

DarkGate è un malware sofisticato che attacca principalmente i sistemi Windows. È noto per le sue capacità di esecuzione di codice remoto, cryptomining e reverse shell.

Segnalato per la prima volta nel 2018, DarkGate si è evoluto in un’offerta malware-as-a-service (MaaS). Abbiamo assistito a un’impennata di attività di DarkGate dopo l’interruzione dell’infrastruttura Qakbot nell’agosto 2023.“, si legge nell’ultimo rapporto di Palo AltoNetworks.

Modalità di diffusione

DarkGate viene diffuso principalmente tramite e-mail di phishing che contengono file comuni come HTML, PDF e XLSX. Recentemente, Palo Alto Networks ha scoperto una campagna osservata tra marzo e aprile 2024 con la quale DarkGate utilizza file Excel (.xlsx) contenenti link ipertestuali (tasto Open) che, quando cliccati, avviano il download di file VBS o JavaScript da condivisioni server Samba/SMB.

Fonte Palo Alto Networks

Il codice dei file .vbs o .js scarica ed esegue uno script PowerShell per avviare il pacchetto DarkGate basato su AutoHotKey.

Fonte Palo Alto Networks

Tecniche di evasione

DarkGate utilizza varie tecniche per evitare la rilevazione:

  • Controllo della presenza di software anti-malware.
  • Verifica delle informazioni della CPU. Ciò può rivelare se in esecuzione in un ambiente virtuale o su un host fisico, per evitare di essere analizzato in un ambiente controllato.
  • Offuscamento dei dati C2 utilizzando richieste HTTP non crittografate, ma offuscati in Base64.

Impatti e rischi

Il malware può eseguire codice remoto, effettuare cryptomining e stabilire una reverse shell, permettendo agli attaccanti di controllare il sistema infetto. Questo lo rende una minaccia significativa per la sicurezza informatica.

Misure di protezione

Per proteggersi da DarkGate, è importante:

  • Utilizzare un antivirus aggiornato.
  • Prestare attenzione agli allegati delle e-mail e ai link presenti in esse.
  • Mantenere un atteggiamento prudente rispetto alla posta elettronica ricevuta.

Nell’ultima campagna gli obiettivi hanno incluso Nord America, Europa e parti dell’Asia.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.