Os ataques cibernéticos envolvendo a operação de malware como serviço (MaaS) DarkGate mudaram de scripts AutoIt para um mecanismo AutoHotkey para entregar as últimas etapas do ataque, destacando os esforços contínuos dos agentes de ameaça para se manterem à frente das soluções de detecção.

As atualizações foram observadas na versão 6 do DarkGate, lançada em março de 2024 pelo desenvolvedor RastaFarEye, que vem vendendo o programa sob uma base de assinatura para até 30 clientes. O malware está ativo desde pelo menos 2018. Um trojan de acesso remoto (RAT) completo, o DarkGate é equipado com capacidades de comando e controle (C2) e rootkit, e incorpora vários módulos para roubo de credenciais, keylogging, captura de tela e desktop remoto.

Vale notar que a mudança do DarkGate para AutoHotKey foi documentada pela primeira vez pelo McAfee Labs no final de abril de 2024, com cadeias de ataque explorando vulnerabilidades de segurança como CVE-2023-36025 e CVE-2024-21412 para contornar as proteções do Microsoft Defender SmartScreen usando um anexo de Microsoft Excel ou HTML em e-mails de phishing.

A versão mais recente do DarkGate traz atualizações substanciais para sua configuração, técnicas de evasão e a lista de comandos suportados, que agora inclui gravação de áudio, controle do mouse e gerenciamento do teclado.