Alcuni ricercatori informatici hanno individuato una nuova campagna di spam che distribuisce un malware noto come DarkGate.
Secondo un rapporto stilato da Telekom Security nel corso della scorsa settimana “L’attuale picco nell’attività del malware DarkGate è probabilmente dato il fatto che lo sviluppatore del malware ha recentemente iniziato ad affittare lo stesso a un numero limitato di affiliati“.
Nel rapporto in questione, il ricercatore Igal Lytzki ha segnalato una “campagna ad alto volume“, che sfrutta messaggi di posta elettronica per spingere le potenziali vittime a scaricare il malware.
L’URL di phishing incluso nei messaggi direziona l’utente verso un sistema di direzione del traffico (TDS) per portare la vittima a un payload MSI. L’apertura del file in questione attiva un processo in più fasi che include uno script AutoIt per eseguire lo shellcode che funge da canale per decrittografare e avviare DarkGate tramite un loader.
DarkGate viene noleggiato per 1.000 dollari al giorno dal suo creatore
DarkGate, noleggiato principalmente su forum clandestini da un cybercriminale noto come RastaFarEye, è dotato di funzionalità per eludere il rilevamento da parte di software di sicurezza, per favorire la persistenza utilizzando le modifiche del registro di Windows, oltre a strategie e sistemi e rubare dati da browser Web e altri software come Discord e FileZilla.
Come appurato dai ricercatori, il malware viene offerto con un abbonamento che parte da 1.000 dollari al giorno, con ulteriori formule da 15.000 dollari al mese o 100.000 dollari all’anno. Lo stesso RastaFarEye descrive DarkGate come un malware dotato di “Caratteristiche che non troverete da nessuna parte“.
Gli attacchi di phishing rappresentano un vettore primario per qualunque tipo di agente malevolo: dai trojan fino ai loader di malware come KrakenKeylogger, QakBot (la cui struttura è stata smantellata proprio in questi giorni), Raccoon Stealer, SmokeLoader.
Secondo un recente rapporto pubblicato da HP Wolf Security, la posta elettronica è rimasta il principale canale per la distribuzione di malware agli endpoint, rappresentando il 79% delle minacce identificate nel secondo trimestre del 2023.