Proofpoint, una destacada empresa de ciberseguridad y cumplimiento, ha identificado un grupo de atacantes llamado BattleRoyal que utiliza tácticas únicas para distribuir malware, incluyendo DarkGate y NetSupport. Estos atacantes emplean correos electrónicos y sitios web comprometidos que ofrecen falsas actualizaciones como señuelos para llevar a cabo sus ataques.
En su informe de amenazas, Proofpoint resalta que BattleRoyal utiliza múltiples cadenas de ataque para robar información y descargar cargas adicionales de malware, en el caso de DarkGate. Además, utilizan estas tácticas para tomar el control de sistemas infectados, instalar más malware y permitir la expansión lateral dentro de entornos comprometidos mediante NetSupport.
Las campañas de correo electrónico de BattleRoyal están dirigidas a diversas industrias, especialmente en Estados Unidos y Canadá. En una de las primeras campañas identificadas en octubre de 2023, se observó el uso de sistemas de entrega de tráfico (TDS) y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen, una función de seguridad diseñada para prevenir el acceso a sitios web maliciosos.
A lo largo de las diferentes campañas, los archivos .URL se mantuvieron como parte constante de la cadena de ataque de BattleRoyal. Esto les permitía evadir las defensas de seguridad si un usuario hacía clic en un archivo .URL diseñado específicamente o en un hipervínculo que apuntara a uno de estos archivos. En particular, SmartScreen no generaba alertas cuando una .URL direccionaba a un recurso compartido SMB o WebDav como file://, y la carga útil del malware estaba contenida en un archivo ZIP especificado en la URL de destino.
Otra de las campañas enviaba solicitudes de actualización del navegador falsas a los usuarios finales, mediante la cual descargaban un archivo .URL similar al de la campaña de correo electrónico descrita anteriormente y la cadena de ataque seguía desde ese punto para entregar DarkGate. Pero, a finales de noviembre y principios de diciembre, los analistas de Proofpoint observaron que BattleRoyal sustituía DarkGate por NetSupport, una herramienta legítima de acceso remoto más consolidada en el arsenal de varios ciberdelincuentes.
“Queda por ver si la razón del cambio de payload se debe al aumento de la popularidad de DarkGate y la consiguiente atención prestada a este malware por la comunidad de seguridad, lo que puede llevar a una reducción de su eficacia, o si simplemente se trata de un cambio temporal”, apunta el equipo de investigación de amenazas de Proofpoint. “La actividad de BattleRoyal, en cualquier caso, se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas, variadas y cada vez más creativas para permitir la distribución de malware, así como de múltiples tipos de técnicas de ingeniería social en un intento de conseguir que los usuarios instalen la payload finalmente”.
