El grupo “BattleRoyal” propaga DarkGate por e-mail y navegadores
Este grupo de atacantes propaga el malware DarkGate a través de correos electrónicos y actualizaciones falsas del navegador.
Proofpoint ha identificado a un grupo de atacantes denominado “BattleRoyal” como responsables de la propagación del malware DarkGate a través de campañas de correo electrónico y señuelos de actualización falsos del navegador. Este grupo ha implementado tácticas altamente sofisticadas para eludir las defensas y comprometer sistemas en todo el mundo, según revela un informe reciente de Proofpoint sobre amenazas cibernéticas.
Las operaciones de BattleRoyal se centran en el uso de múltiples cadenas de ataque, destacando el empleo de correo electrónico y sitios web comprometidos para distribuir los malwares DarkGate y NetSupport. DarkGate, conocido por robar información y descargar payloads adicionales, ha sido reemplazado en algunas instancias por NetSupport, una herramienta legítima de acceso remoto, en un intento de evadir la atención de la comunidad de seguridad.
Campañas de Correo Electrónico
En sus campañas de correo electrónico, BattleRoyal ha enviado decenas de miles de mensajes dirigidos a diversas industrias, principalmente en Estados Unidos y Canadá. Proofpoint identificó que estas campañas utilizaban más de un sistema de entrega de tráfico y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen. Los archivos .URL estaban presentes en todas las campañas, permitiendo eludir las defensas y facilitando la ejecución de ataques.
A pesar de la variabilidad en otras partes de la cadena de ataque, los archivos .URL han sido una constante. Esto permitía a los ciberdelincuentes eludir las defensas cuando los usuarios hacían clic en un archivo .URL especialmente diseñado o en un hipervínculo que apuntase a este tipo de archivo.
Infección vía Navegadores
Una de las tácticas utilizadas por BattleRoyal consistía en enviar solicitudes de actualización del navegador falsas a los usuarios finales. Estas solicitudes descargaban un archivo .URL similar al utilizado en las campañas de correo electrónico, desencadenando así la cadena de ataque que entregaba el malware DarkGate. A finales de noviembre y principios de diciembre, se observó un cambio estratégico por parte de BattleRoyal, sustituyendo DarkGate por NetSupport en algunas instancias.
El equipo de investigación de amenazas de Proofpoint ha destacado que este cambio de payload podría deberse al aumento de la popularidad de DarkGate y la consiguiente atención de la comunidad de seguridad, o simplemente ser un cambio temporal en las tácticas del grupo.
Desde el equipo de investigación de amenazas de Proofpoint apuntan que: “La actividad de BattleRoyal se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas y creativas para distribuir malware, así como diversas técnicas de ingeniería social. Estamos ante un desafío constante para adaptarnos a estas tácticas en evolución y fortalecer las defensas cibernéticas”.