Proofpoint ha identificado a un grupo de atacantes denominado “BattleRoyal” como responsables de la propagación del malware DarkGate a través de campañas de correo electrónico y señuelos de actualización falsos del navegador. Este grupo ha implementado tácticas altamente sofisticadas para eludir las defensas y comprometer sistemas en todo el mundo, según revela un informe reciente de Proofpoint sobre amenazas cibernéticas.
Las operaciones de BattleRoyal se centran en el uso de múltiples cadenas de ataque, destacando el empleo de correo electrónico y sitios web comprometidos para distribuir los malwares DarkGate y NetSupport. DarkGate, conocido por robar información y descargar payloads adicionales, ha sido reemplazado en algunas instancias por NetSupport, una herramienta legítima de acceso remoto, en un intento de evadir la atención de la comunidad de seguridad.
En sus campañas de correo electrónico, BattleRoyal ha enviado decenas de miles de mensajes dirigidos a diversas industrias, principalmente en Estados Unidos y Canadá. Proofpoint identificó que estas campañas utilizaban más de un sistema de entrega de tráfico y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen. Los archivos .URL estaban presentes en todas las campañas, permitiendo eludir las defensas y facilitando la ejecución de ataques.
A pesar de la variabilidad en otras partes de la cadena de ataque, los archivos .URL han sido una constante. Esto permitía a los ciberdelincuentes eludir las defensas cuando los usuarios hacían clic en un archivo .URL especialmente diseñado o en un hipervínculo que apuntase a este tipo de archivo.
Una de las tácticas utilizadas por BattleRoyal consistía en enviar solicitudes de actualización del navegador falsas a los usuarios finales. Estas solicitudes descargaban un archivo .URL similar al utilizado en las campañas de correo electrónico, desencadenando así la cadena de ataque que entregaba el malware DarkGate. A finales de noviembre y principios de diciembre, se observó un cambio estratégico por parte de BattleRoyal, sustituyendo DarkGate por NetSupport en algunas instancias.
El equipo de investigación de amenazas de Proofpoint ha destacado que este cambio de payload podría deberse al aumento de la popularidad de DarkGate y la consiguiente atención de la comunidad de seguridad, o simplemente ser un cambio temporal en las tácticas del grupo.
Desde el equipo de investigación de amenazas de Proofpoint apuntan que: “La actividad de BattleRoyal se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas y creativas para distribuir malware, así como diversas técnicas de ingeniería social. Estamos ante un desafío constante para adaptarnos a estas tácticas en evolución y fortalecer las defensas cibernéticas”.
Girará en torno a tres temáticas: desinformación, contrainteligencia y credenciales expuestas.
El 57 % de las compañías españolas está manteniendo este año su nivel de inversión…
Entre los problemas a los que se enfrentan las compañías con infraestructura distribuida geográficamente se…
Juniper Research prevé un incremento del 50 % en el tráfico de mensajes para 2025.
Aumentaron un 20,4 % durante los meses de julio, agosto y septiembre para llegar a…
CrowdStrike celebra este evento en Ámsterdam entre el 5 y el 7 de noviembre.