Pesquisadores de cibersegurança destacaram uma campanha recente do malware DarkGate que aproveitou os compartilhamentos de arquivos Samba para iniciar infecções. A campanha, que durou apenas alguns meses, chamou a atenção pela forma criativa como os cibercriminosos abusaram de ferramentas e serviços legítimos. De acordo com a Palo Alto Networks, a atividade ocorreu entre março e abril de 2024.

Durante este período, as cadeias de infecção utilizavam servidores com compartilhamentos de arquivos Samba expostos ao público, nos quais estavam hospedados scripts Visual Basic (VBS) e arquivos JavaScript. Esses scripts eram os principais vetores de infecção. Os alvos desta campanha não se limitaram a uma região específica. Foram registrados ataques na América do Norte, Europa e partes da Ásia. Essa dispersão geográfica demonstra a amplitude e a potencial gravidade das operações conduzidas pelos atacantes.

O DarkGate, que surgiu pela primeira vez em 2018, evoluiu significativamente desde então. Atualmente, é oferecido como um serviço de malware (MaaS) utilizado por um número restrito de clientes. Suas capacidades incluem o controle remoto de hosts comprometidos, execução de código, mineração de criptomoedas, lançamento de shells reversos e a distribuição de payloads adicionais.

Nos últimos meses, os ataques envolvendo o DarkGate aumentaram consideravelmente. Esse aumento está associado à derrubada da infraestrutura do QakBot, realizada por uma operação multinacional de aplicação da lei em agosto de 2023. A eliminação de um concorrente significativo no cenário do cibercrime pode ter incentivado o uso do DarkGate.