Darkgate: el ascenso del troyano de acceso remoto y sus tácticas evolutivas
- Publicado: 05/06/2024
- Importancia: Media
- Recursos afectados
El Csirt Financiero ha identificado nuevas actividades del troyano DarkGate, un malware comercializado en foros rusos desde 2018. DarkGate ahora utiliza AutoHotkey para la infección en lugar de AutoIt. La versión de marzo de 2024 tiene avanzadas capacidades de comando y control (C2) y rootkit, ejecutándose en memoria sin dejar rastros en el disco. La infección se inicia con un documento Excel malicioso que descarga y ejecuta un archivo VBS y un script de PowerShell.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas