12-05-2025, 04:24 PM
Nombre: DarkGate Loader
Categoría: Loader / Downloader (Malware-as-a-Service)
Fecha de descubrimiento: Observado al menos desde 2018, con campañas muy activas en 2023–2024
Comportamiento (lo que hace y archivos que infecta):
DarkGate es un loader comercial ofrecido como Malware-as-a-Service. Se usa para descargar y ejecutar otros payloads: infostealers, RATs y, en muchas campañas recientes, ransomware.
Llega normalmente mediante:
- Correos de phishing con adjuntos maliciosos (Office, enlaces a archivos AutoIt, etc.).
- Instaladores falsos de software (por ejemplo, campañas que explotan CVE-2024-21412 a través de instaladores MSI maliciosos).
- Mensajes en plataformas de colaboración como Microsoft Teams con enlaces engañosos.
Una vez ejecutado, puede:
- Abusar de scripts AutoIt y otros loaders intermedios.
- Contactar a un servidor de mando y control (C2).
- Descargar y ejecutar binarios adicionales (EXE/DLL) en %TEMP% y en carpetas de usuario.
- Realizar técnicas de evasión (anti-VM, ofuscación, etc.).
No “infecta” archivos de usuario en el sentido clásico, sino que crea/usa ejecutables y librerías temporales que funcionan como puente hacia otros malware más destructivos.
Persistencia:
DarkGate suele:
- Copiarse en rutas de usuario o sistema con nombres que imitan procesos legítimos.
- Crear claves de Registro (Run/RunOnce) o tareas programadas para relanzarse.
- Usarse como parte de una cadena más larga donde el malware final (por ejemplo un ransomware) establece su propia persistencia.
En campañas recientes también se ha observado su uso combinado con exploits de SmartScreen para ejecutarse con mínima interacción del usuario.
Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Mitigación con GetOverX Shield v3.0.2.0 o Superior:
Categoría: Loader / Downloader (Malware-as-a-Service)
Fecha de descubrimiento: Observado al menos desde 2018, con campañas muy activas en 2023–2024
Comportamiento (lo que hace y archivos que infecta):
DarkGate es un loader comercial ofrecido como Malware-as-a-Service. Se usa para descargar y ejecutar otros payloads: infostealers, RATs y, en muchas campañas recientes, ransomware.
Llega normalmente mediante:
- Correos de phishing con adjuntos maliciosos (Office, enlaces a archivos AutoIt, etc.).
- Instaladores falsos de software (por ejemplo, campañas que explotan CVE-2024-21412 a través de instaladores MSI maliciosos).
- Mensajes en plataformas de colaboración como Microsoft Teams con enlaces engañosos.
Una vez ejecutado, puede:
- Abusar de scripts AutoIt y otros loaders intermedios.
- Contactar a un servidor de mando y control (C2).
- Descargar y ejecutar binarios adicionales (EXE/DLL) en %TEMP% y en carpetas de usuario.
- Realizar técnicas de evasión (anti-VM, ofuscación, etc.).
No “infecta” archivos de usuario en el sentido clásico, sino que crea/usa ejecutables y librerías temporales que funcionan como puente hacia otros malware más destructivos.
Persistencia:
DarkGate suele:
- Copiarse en rutas de usuario o sistema con nombres que imitan procesos legítimos.
- Crear claves de Registro (Run/RunOnce) o tareas programadas para relanzarse.
- Usarse como parte de una cadena más larga donde el malware final (por ejemplo un ransomware) establece su propia persistencia.
En campañas recientes también se ha observado su uso combinado con exploits de SmartScreen para ejecutarse con mínima interacción del usuario.
Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
8a2edeef9978d454882bfb233d9cd77505618b854f7899b27aeb095ff8ebb3f4Mitigación con GetOverX Shield v3.0.2.0 o Superior:
- Antivirus:
Realizar un escaneo completo para detectar y eliminar el binario de DarkGate, así como scripts AutoIt, DLLs y ejecutables temporales descargados en la cadena de infección.
- Firewall:
Configurar reglas para bloquear conexiones hacia dominios/IPs asociados a C2 de loaders y cortar toda comunicación saliente sospechosa desde el host comprometido. Aislar el equipo si se observan conexiones inusuales justo después de abrir documentos o instaladores.
- HIPS/EDR:
Activar reglas que detecten:
- Ejecución de scripts AutoIt / PowerShell que descargan contenido remoto.
- Creación repentina de EXE/DLL en %TEMP% seguida de su ejecución.
- Uso de procesos “legítimos” como LOLBins para cargar código (por ejemplo, msiexec, wscript, etc.).
Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente.
- Sandbox:
Analizar en la Sandbox:
- Adjuntos de correo (Excel, Word, PDF con enlaces).
- Instaladores de software descargados fuera de fuentes oficiales.
Validar su comportamiento antes de permitir la ejecución en el entorno real.
- Medidas posteriores al incidente:
- Revisar si se descargaron payloads adicionales (stealers, RAT, ransomware).
- Eliminar tareas programadas y claves de Registro creadas por el loader.
- Revisar sistemas vecinos por posible movimiento lateral.