DarkGate Malware maakt misbruik van Samba-bestandsshares in kortdurende campagne

Cybersecurityonderzoekers hebben licht geworpen op een kortdurende DarkGate-malwarecampagne die gebruikmaakte van Samba-bestandsshares om infecties te initiëren.

Palo Alto Networks Unit 42 zei dat de activiteit de maanden maart en april 2024 besloeg, waarbij de infectieketens servers gebruikten die publieke Samba-bestandsshares draaiden die Visual Basic Script (VBS) en JavaScript-bestanden hosten. Doelwitten waren onder meer Noord-Amerika, Europa en delen van Azië.

“Dit was een relatief kortdurende campagne die illustreert hoe kwaadwillenden legitieme tools en services creatief kunnen misbruiken om hun malware te verspreiden”, aldus beveiligingsonderzoekers Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh en Brad Duncan.

DarkGate, dat voor het eerst in 2018 verscheen, is uitgegroeid tot een malware-as-a-service (MaaS)-aanbod dat wordt gebruikt door een strikt gecontroleerd aantal klanten. Het wordt geleverd met mogelijkheden om gecompromitteerde hosts op afstand te besturen, code uit te voeren, cryptocurrency te minen, reverse shells te starten en extra payloads te droppen.

Aanvallen met de malware zijn de afgelopen maanden vooral toegenomen nadat in augustus 2023 door multinationale wetshandhavers de QakBot-infrastructuur werd platgelegd.

De campagne die Unit 42 documenteert, begint met Microsoft Excel-bestanden (.xlsx). Wanneer deze bestanden worden geopend, worden de slachtoffers aangespoord om op een ingebouwde Open-knop te klikken. Deze knop haalt vervolgens VBS-code op die op een Samba-bestandsshare is gehost en voert deze uit.

Het PowerShell-script is geconfigureerd om een ​​PowerShell-script op te halen en uit te voeren, dat vervolgens wordt gebruikt om een ​​op AutoHotKey gebaseerd DarkGate-pakket te downloaden.

Alternatieve sequenties die JavaScript-bestanden gebruiken in plaats van VBS, zijn niet anders in die zin dat ze ook zijn ontworpen om het daaropvolgende PowerShell-script te downloaden en uit te voeren.

DarkGate scant naar verschillende anti-malwareprogramma’s en controleert de CPU-informatie om te bepalen of het op een fysieke host of een virtuele omgeving draait, waardoor het de analyse kan hinderen. Het onderzoekt ook de lopende processen van de host om de aanwezigheid van reverse engineeringtools, debuggers of virtualisatiesoftware te bepalen.

“DarkGate C2-verkeer maakt gebruik van ongecodeerde HTTP-verzoeken, maar de gegevens zijn verhuld en worden weergegeven als Base64-gecodeerde tekst”, aldus de onderzoekers.

“Naarmate DarkGate zich blijft ontwikkelen en zijn methoden voor infiltratie en weerstand tegen analyse blijft verfijnen, blijft het een krachtige herinnering aan de noodzaak van robuuste en proactieve cyberbeveiliging.”

Thijs Van der Does