GETOVERX FORUM Community Support
DarkGate (2023–2024) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Backdoors (https://forum.getoverx.com/forumdisplay.php?fid=21)
+--- Thread: DarkGate (2023–2024) (/showthread.php?tid=81)

DarkGate (2023–2024) - mrwebfeeder - 11-29-2025

Nombre: DarkGate

Categoría: Loader + RAT con capacidades de cryptomining

Periodo de actividad: 2023–2024

Comportamiento (lo que hace y archivos que afecta):
- Malware multifunción que combina:
- Loader: Carga y ejecuta payloads adicionales (ransomware, stealers, otros RAT).
- RAT (Remote Access Trojan): Permite control remoto del equipo comprometido (ejecución de comandos, descarga/carga de archivos, persistencia).
- Mining capabilities: Usa recursos de CPU/GPU para minería de criptomonedas sin consentimiento del usuario.
- Suele llegar a través de:
- Campañas de phishing con adjuntos maliciosos (scripts, documentos con macros, archivos comprimidos).
- Descargas de software crackeado o instaladores falsos.
- Una vez activo:
- Puede modificar el sistema para facilitar el control remoto.
- Ejecuta payloads secundarios y, si está configurado, inicia procesos de minería en segundo plano.
- Archivos afectados:
- Scripts y binarios desplegados por el loader (DLL, EXE, scripts).
- No está orientado a cifrar datos como ransomware, sino a mantener control y exfiltrar/monetizar recursos.

Persistencia (comportamiento típico):
- Varía según la campaña, pero se han observado:
- Entradas en el Registro para inicio automático (Run/RunOnce).
- Tareas programadas que relanzan el loader o el RAT.
- Copias del ejecutable en rutas de usuario (AppData, Roaming, Temp) con nombres que imitan software legítimo.

Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
c5c29fa268dfb4b77f20f7a7b9a5cd88b8df0ed4a87dffd25ac7ce5b807aa8cf

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detectar picos de CPU por cryptomining (EDR):
    - Activar en el EDR reglas de detección de:
    - Procesos que consumen CPU/GPU de forma sostenida sin justificación (especialmente en equipos que normalmente no realizan tareas pesadas).
    - Uso anómalo de recursos durante periodos de inactividad del usuario.
    - Configurar respuesta automática para:
    - Matar procesos sospechosos de minería.
    - Registrar detalle (proceso, ruta, usuario, consumo de CPU) en los logs unificados.

  • Cuarentena de loader scripts sospechosos (AV + HIPS):
    - Configurar el AV para escanear y poner en cuarentena:
    - Scripts descargados desde correo o web (VBS, JS, PS1, etc.) que ejecuten payloads adicionales.
    - En HIPS:
    - Restringir la ejecución de scripts desde rutas de usuario (Descargas, Temp) salvo apps firmadas y de confianza.
    - Analizar adjuntos y scripts dudosos en la Sandbox antes de permitir su ejecución en el entorno real.

  • Bloquear patrones de red de RAT (Firewall + EDR):
    - Monitorear conexiones salientes persistentes hacia:
    - Dominios/IPs no habituales.
    - Puertos/Protocolos característicos de C2 de RAT.
    - Crear reglas en el firewall de GetOverX Shield para:
    - Bloquear patrones de tráfico asociados a control remoto no autorizado.
    - Limitar conexiones salientes desde estaciones de trabajo a sólo destinos necesarios.
    - Registrar y alertar cuando un proceso desconocido mantenga conexiones de larga duración con hosts externos.

  • Medidas adicionales recomendadas:
    - Endurecer políticas de correo:
    - Filtrar adjuntos ejecutables y scripts.
    - Marcar correos externos con advertencias para el usuario.
    - Mantener el sistema y aplicaciones actualizadas para reducir vectores de ejecución de loaders.
    - Formar a usuarios para:
    - No abrir adjuntos inesperados.
    - Evitar cracks y software pirata, vector habitual para DarkGate y loaders similares.