El grupo “BattleRoyal” propaga DarkGate por e-mail y navegadores

Proofpoint ha identificado a un grupo de atacantes denominado “BattleRoyal” como responsables de la propagación del malware DarkGate a través de campañas de correo electrónico y señuelos de actualización falsos del navegador. Este grupo ha implementado tácticas altamente sofisticadas para eludir las defensas y comprometer sistemas en todo el mundo, según revela un informe reciente de Proofpoint sobre amenazas cibernéticas.

Las operaciones de BattleRoyal se centran en el uso de múltiples cadenas de ataque, destacando el empleo de correo electrónico y sitios web comprometidos para distribuir los malwares DarkGate y NetSupport. DarkGate, conocido por robar información y descargar payloads adicionales, ha sido reemplazado en algunas instancias por NetSupport, una herramienta legítima de acceso remoto, en un intento de evadir la atención de la comunidad de seguridad.

Campañas de Correo Electrónico

En sus campañas de correo electrónico, BattleRoyal ha enviado decenas de miles de mensajes dirigidos a diversas industrias, principalmente en Estados Unidos y Canadá. Proofpoint identificó que estas campañas utilizaban más de un sistema de entrega de tráfico y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen. Los archivos .URL estaban presentes en todas las campañas, permitiendo eludir las defensas y facilitando la ejecución de ataques.

A pesar de la variabilidad en otras partes de la cadena de ataque, los archivos .URL han sido una constante. Esto permitía a los ciberdelincuentes eludir las defensas cuando los usuarios hacían clic en un archivo .URL especialmente diseñado o en un hipervínculo que apuntase a este tipo de archivo.

Infección vía Navegadores

Una de las tácticas utilizadas por BattleRoyal consistía en enviar solicitudes de actualización del navegador falsas a los usuarios finales. Estas solicitudes descargaban un archivo .URL similar al utilizado en las campañas de correo electrónico, desencadenando así la cadena de ataque que entregaba el malware DarkGate. A finales de noviembre y principios de diciembre, se observó un cambio estratégico por parte de BattleRoyal, sustituyendo DarkGate por NetSupport en algunas instancias.

El equipo de investigación de amenazas de Proofpoint ha destacado que este cambio de payload podría deberse al aumento de la popularidad de DarkGate y la consiguiente atención de la comunidad de seguridad, o simplemente ser un cambio temporal en las tácticas del grupo.

Desde el equipo de investigación de amenazas de Proofpoint apuntan que: “La actividad de BattleRoyal se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas y creativas para distribuir malware, así como diversas técnicas de ingeniería social. Estamos ante un desafío constante para adaptarnos a estas tácticas en evolución y fortalecer las defensas cibernéticas”.

Antonio Adrados Herrero

Recent Posts

La ciberseguridad del IoT crecerá un 120% en el próximo lustro

El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…

2 días ago

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

2 días ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

2 días ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

2 días ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

2 días ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

2 días ago