El grupo “BattleRoyal” propaga DarkGate por e-mail y navegadores

Proofpoint ha identificado a un grupo de atacantes denominado “BattleRoyal” como responsables de la propagación del malware DarkGate a través de campañas de correo electrónico y señuelos de actualización falsos del navegador. Este grupo ha implementado tácticas altamente sofisticadas para eludir las defensas y comprometer sistemas en todo el mundo, según revela un informe reciente de Proofpoint sobre amenazas cibernéticas.

Las operaciones de BattleRoyal se centran en el uso de múltiples cadenas de ataque, destacando el empleo de correo electrónico y sitios web comprometidos para distribuir los malwares DarkGate y NetSupport. DarkGate, conocido por robar información y descargar payloads adicionales, ha sido reemplazado en algunas instancias por NetSupport, una herramienta legítima de acceso remoto, en un intento de evadir la atención de la comunidad de seguridad.

Campañas de Correo Electrónico

En sus campañas de correo electrónico, BattleRoyal ha enviado decenas de miles de mensajes dirigidos a diversas industrias, principalmente en Estados Unidos y Canadá. Proofpoint identificó que estas campañas utilizaban más de un sistema de entrega de tráfico y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen. Los archivos .URL estaban presentes en todas las campañas, permitiendo eludir las defensas y facilitando la ejecución de ataques.

A pesar de la variabilidad en otras partes de la cadena de ataque, los archivos .URL han sido una constante. Esto permitía a los ciberdelincuentes eludir las defensas cuando los usuarios hacían clic en un archivo .URL especialmente diseñado o en un hipervínculo que apuntase a este tipo de archivo.

Infección vía Navegadores

Una de las tácticas utilizadas por BattleRoyal consistía en enviar solicitudes de actualización del navegador falsas a los usuarios finales. Estas solicitudes descargaban un archivo .URL similar al utilizado en las campañas de correo electrónico, desencadenando así la cadena de ataque que entregaba el malware DarkGate. A finales de noviembre y principios de diciembre, se observó un cambio estratégico por parte de BattleRoyal, sustituyendo DarkGate por NetSupport en algunas instancias.

El equipo de investigación de amenazas de Proofpoint ha destacado que este cambio de payload podría deberse al aumento de la popularidad de DarkGate y la consiguiente atención de la comunidad de seguridad, o simplemente ser un cambio temporal en las tácticas del grupo.

Desde el equipo de investigación de amenazas de Proofpoint apuntan que: “La actividad de BattleRoyal se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas y creativas para distribuir malware, así como diversas técnicas de ingeniería social. Estamos ante un desafío constante para adaptarnos a estas tácticas en evolución y fortalecer las defensas cibernéticas”.

Antonio Adrados Herrero

Recent Posts

SIA crea una Cátedra de Ciberinteligencia junto con la Universidad de Málaga

Girará en torno a tres temáticas: desinformación, contrainteligencia y credenciales expuestas.

9 horas ago

La optimización de productos digitales gana a la creación entre las prioridades empresariales

El 57 % de las compañías españolas está manteniendo este año su nivel de inversión…

11 horas ago

En España, el 22 % de las empresas industriales sufre problemas de red 2 o 3 veces al mes

Entre los problemas a los que se enfrentan las compañías con infraestructura distribuida geográficamente se…

13 horas ago

Así evolucionará la mensajería empresarial RCS durante los próximos años

Juniper Research prevé un incremento del 50 % en el tráfico de mensajes para 2025.

13 horas ago

Los envíos trimestrales de tabletas rozan los 40 millones de unidades

Aumentaron un 20,4 % durante los meses de julio, agosto y septiembre para llegar a…

15 horas ago

La conferencia Fal.Con llega por primera vez a Europa

CrowdStrike celebra este evento en Ámsterdam entre el 5 y el 7 de noviembre.

16 horas ago