Darkgate Malware: pericolo in costante evoluzione
Il Darkgate malware è una minaccia in continua evoluzione, che sfrutta vulnerabilità e tecniche di evasione per diffondersi. In questo articolo, esploreremo come il Darkgate malware si è evoluto e come le organizzazioni possono proteggersi.
Il Darkgate malware ha dimostrato di essere in grado di bypassare Microsoft Defender SmartScreen, una funzionalità di sicurezza di Windows, sfruttando vulnerabilità come CVE-2023-36025 e CVE-2024-21412. Queste vulnerabilità sono state identificate e corrette, ma il Darkgate malware continua a sfruttarle per eludere i controlli di sicurezza.
Per proteggersi da queste vulnerabilità, è importante mantenere aggiornati i sistemi con le patch più recenti. Inoltre, è fondamentale adottare misure di sicurezza proattive, come l’utilizzo di software antivirus affidabili e l’educazione degli utenti sulla sicurezza informatica.
Infezione
Il Darkgate malware utilizza due diverse catene di infezione, una basata su un file HTML e l’altra su un file XLS. Entrambe le catene di infezione sfruttano vulnerabilità e tecniche di evasione per diffondersi.
HTML
La catena di infezione basata su HTML inizia con una pagina di phishing mascherata da documento Word, che promuove l’apertura del documento in “Cloud View”. Questa tecnica è utilizzata per indurre gli utenti a interagire con il contenuto malevolo.
Una volta che l’utente fa clic su “Cloud View”, viene richiesto di concedere l’autorizzazione per aprire Windows Explorer, che viene utilizzato per reindirizzare l’utente a una pagina Web dannosa.
Il Darkgate malware utilizza una serie di tecniche di evasione, tra cui la codifica in reverse Base64 e l’utilizzo di parametri di ricerca per nascondere il contenuto dannoso. Una volta decodificato, il contenuto rivela un URL che esegue un’operazione di ricerca per un file dannoso.
XLS
La catena di infezione basata su XLS inizia con un file Excel dannoso che richiede l’autorizzazione dell’utente per essere aperto. Una volta autorizzato, il file esegue una serie di comandi che scaricano e installano il Darkgate malware.
Anche in questo caso, il Darkgate malware utilizza una serie di tecniche di evasione per nascondere il contenuto dannoso e bypassare i controlli di sicurezza.
Persistenza
Per mantenere la persistenza, il Darkgate malware crea un collegamento nel menu di avvio che esegue uno script dannoso. Questo script crea una cartella che contiene il malware e altri file dannosi.
Inoltre, il Darkgate malware è in grado di esfiltrare dati sensibili a un indirizzo IP remoto. Questa capacità rende il Darkgate malware una minaccia particolarmente pericolosa per le organizzazioni che gestiscono dati sensibili.
Il Darkgate malware è una minaccia in continua evoluzione che sfrutta vulnerabilità e tecniche di evasione per diffondersi. Per proteggersi da questa minaccia, è importante mantenere aggiornati i sistemi, adottare misure di sicurezza proattive e educare gli utenti sulla sicurezza informatica.
Inoltre, è fondamentale monitorare attivamente il proprio ambiente di sicurezza per rilevare e rispondere rapidamente a eventuali minacce. Con le giuste misure di sicurezza in atto, le organizzazioni possono proteggersi dal Darkgate malware e dalle altre minacce in continua evoluzione.
