Aviso sobre amenazas de ciberseguridad
Share
Nueva táctica de ataque de la operación DarkGate MaaS
La operación DarkGate Malware-as-a-Services (MaaS) actualmente utiliza un AutoHotkey para realizar las últimas etapas de los ciberataques.
¿Cuál es la amenaza?
DarkGate
Es un MaaS básico, este a su vez lanza un troyano de acceso remoto (RAT) con todas las funciones, equipado con un comando y control (C2) y capacidades rootkit.
Incorpora varios módulos para robo de credenciales, registro de teclas, captura de pantalla y escritorio remoto. Las vulnerabildiades de software especificas explotadas por DarkGate no se divulgan públicamente, pero su capacidad para atacar múltiples sistemas operativos, incluidos (Windows, macOS y Linux), hace que esto sea una preocupación importante tanto pata las organizaciones como para los individuos.
¿Por qué es digno de mención?
Darkgate utiliza varios métodos para explotar vulnerabilidades e infiltrarse en los sistemas. Esto incluye aprovechar archivos de Excel con macros integradas como conductos para ejecutar un script de Visual Basic responsable de ejecutar comandos de PowerShell para iniciar un script AutoHotkey. Este proceso es complejo que tiene como objetivo recuperar y decodificar la carga útil de DarkGate a partir de un archivo de texto. La complejidad de estas técnicas resalta la sofisticación y adaptabilidad de los vectores de ataque DarkGate.
¿Cuál es el riesgo?
La personalización de las funciones de DarkGate en función de las preferencias del cliente subraya la naturaleza personalizada de sus ataques. Estos pueden variar en alcance y sofisticación. La ultima version de DarkGate ha introducido importantes mejoras en su configuración, técnicas de evasión y comandos admitidos. Estas mejoras incluyen funciones como grabación de audio, control de dispositivos como mouse y teclado, al mismo tiempo que eliminan algunas capacidades presentes en versiones anteriores, como escalada de privilegios, criptominería y funciones hVNC (Hiden Virtual Network Computing). Este ajuste estratégico puede tener como objetivo reducir los riesgos de detección y satisfacer las necesidades específicas de la base de DarkGate, que se limita a un grupo selecto de personas.
Recomendaciones
Algunas recomendaciones para mitigar el impacto son las siguientes:
- Implemente controles estrictos sobre la ejecución de comandos PowerShell para evitar el acceso no autorizado y minimizar el riesgo de explotación.
- Supervise y bloquee los scripts de AutoHotkey que potencialmente podrían iniciar cargas de DarkGate. Esto se puede lograr mediante el monitoreo de red y la detección de endpoints.
- Brindar capacitación a los usuarios sobre los peligros de ataques como phishing y malware previniendo así la infección de productos maliciosos como DarkGate. Proporcionar programas periódicos de información y concientización para enseñar a los usuarios como identificar y denunciar correos electrónicos y archivos adjuntos sospechosos.
Nuestro servicio XDR Endpoint Security amplia la detección y brinda capacidad de respuesta inmediata ante cualquier amenaza. La solución combina el poder de la IA para bloquear infecciones de malware, protección en contra de ataques basados en scripts, ataques sin archivos, ataques de memoria y ataques basados en dispositivos externos, respaldado por nuestro “Centro de Operaciones de Seguridad (SOC) 24/7/365”.
XDR Endpoint Security incluye:
- Agente de seguridad de nueva generación para computadoras y servidores, no importando ubicación y conectividad.
- Recolección y relación de eventos para prevención y detección de amenazas proactivamente.
- Servicio administrado, para brindar soporte a todos los equipos empresariales.
- Centro de Operaciones de Seguridad 7x24 los 365 días del año.
- El agente de nueva generación está disponible para Windows, Linux y MAC.
- Evaluación de eventos de seguridad apegados con Mitre Att&ck.
Capacitación de concientización sobre seguridad.
Defiende tu organización contra los ciberdelincuentes y fortalece tu "firewall humano" con nuestra capacitación automatizada y atractiva. Ejecute simulaciones de phishing realistas, aumente las habilidades de ciberdefensa de su personal y realice un seguimiento de la eficacia con informes y paneles detallados.
Escala tu formación.
La plataforma automatizada le permite implementar la capacitación en toda su organización rápidamente y dentro del presupuesto.
Aprendizaje seguro.
Ofrezca simulaciones de phishing inmersivas para capacitar al personal a través de acciones prácticas y refuerce el aprendizaje con contenido en línea atractivo.
Visión de los resultados.
El panel detallado basado en datos le permite realizar un seguimiento de su riesgo cibernético humano e identificar cómo maximizar su defensa.
Si deseas conocer mas información en soluciones de ciberseguridad te dejamos los siguientes enlaces donde podrás conocer mas a fondo de nosotros:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR