DarkGate sfrutta i network pubblicitari per tracciare le vittime ed eludere i controlli

Feb 16, 2024 Marina Londei Attacchi, Hacking, Minacce, News, RSS 0

---

I cybercriminali continuano a trovare nuovi modi per attaccare gli utenti ed eludere la sicurezza. A quanto pare, tra i nuovi obiettivi del cybercrimine c’è anche la misurazione delle performance dei malware: l’ultimo report di HP Wolf Security ha individuato numerose campagne di DarkGate che sfruttano i network pubblicitari per tracciare i click delle vittime e superare i controlli di sicurezza.

DarkGate è un malware-as-a-service che consente agli attaccanti di installare una backdoor sui PC infettati per esfiltrare dati o eseguire attacchi ransomware.

Nelle campagne analizzate, gli attaccanti inviavano PDF malevoli alle email delle vittime; una volta aperti, i documenti mostravano un messaggio falso, in molti casi relativo a un errore di connessione a OneDrive che impediva l’apertura del file. A quel punto, per ottenere il documento, le vittime dovevano cliccare su un link di download proposto nel messaggio, il quale scaricava il payload di DarkGate.

L’uso di servici cloud come OneDrive per mascherare l’URL malevolo è un vantaggio non indifferente: poiché le interfacce di questi servizi vengono aggiornate di frequente, gli utenti non fanno caso a elementi strani o fuori posto della UI. 

I ricercatori spiegano che il link nel messaggio non porta immediatamente al download del file, ma viene effettuato prima un routing in un network pubblicitario. L’URL del link contiene gli identificativi del file e il dominio dove è memorizzato; con questi dati viene costruito l’URL finale, non mostrato nel PDF, che scarica effettivamente il documento finale col payload.

Usare la rete pubblicitaria come proxy serve da una parte a raccogliere dati su chi clicca sul link, e dall’altra a eludere i controlli. “Poiché la rete pubblicitaria utilizza i CAPTCHA per verificare gli utenti reali e prevenire le frodi sui click, è possibile che i sistemi di analisi automatica del malware non riescano a individuare il malware perché non sono in grado di recuperare e ispezionare la fase successiva della catena di infezione, aiutando gli attaccanti a eludere l’analisi” spiegano i ricercatori. “Inoltre, il fatto di essere indirizzati attraverso un dominio di rete pubblicitaria legittimo e di dover eventualmente superare un test CAPTCHA potrebbe far sembrare l’esca più plausibile dal punto di vista della vittima“.

L’uso di PDF per distribuire DarkGate si allinea a un trend globale che vende un aumento dell’11% dell’uso di questi file per infettare i dispositivi. Il report evidenzia anche un incremento degli exploit che utilizzano le macro di Office, in particolare nei documenti Word, e dell’uso di Discord e TextBin per condividere file malevoli.

“I cybercriminali stanno diventando abili a entrare nella nostra testa e a capire come ragioniamo” ha affermato Alex Holland, Senior Malware Analyst del threat research team di HP Wolf Security. “Con la GenAI che genera contenuti dannosi ancora più convincenti a costo zero, distinguere il vero dal falso diventerà sempre più difficile”.

Per proteggersi dai nuovi attacchi le organizzazioni devono seguire i principi zero-trust e isolare attività rischiose come l’apertura di allegati, il click sui link e i download da browser.

---

• darkgate, hp wolf security, malware, network pubblicitari, PDF, Phishing

---

---