darkgate - RunkIntel

# DarkGaté > Tipo: **loader / backdoor MaaS** - S1111 - [MITRE ATT&CK](https://attack.mitre.org/software/S1111) > [!warning] Substituto do QakBot em Operacoes de Alto Impacto > DarkGaté emergiu como uma das principais ferramentas de acesso inicial após a queda do QakBot em agosto de 2023. Escrito em Delphi e disponibilizado como MaaS por seu autor "RastaFarEye", o DarkGaté combina loader, backdoor, minerador de criptomoedas e evasão avancada em um único framework - tornando-o a escolha preferida de Initial Access Brokers em 2023-2024. ## Visão Geral [[darkgaté|DarkGaté]] surgiu pela primeira vez em 2018 mas ganhou notoriedade massiva a partir de 2022, e especialmente pos-agosto 2023, quando o takedown do [[s0650-qakbot|QakBot]] criou um vacuo de mercado que o DarkGaté rapidamente preencheu. Escrito em Delphi por um ator conhecido como "RastaFarEye", o malware e vendido como MaaS em forums clandestinos russos com limite de poucos compradores simultaneos, aumentando seu valor percebido de exclusividade. O DarkGaté e um framework completo de intrusão com módulos para: loading de payloads secundarios, mineracao de criptomoedas, roubo de credenciais de browsers, acesso remoto via HVNC (Hidden VNC), keylogging e acoes pre-ransomware. Sua principal caracteristica técnica e o uso de **Autoit3 e scripts VBS** como mecanismo de execução, combinado com DLL hijacking ([[t1574-hijack-execution-flow|T1574]]) para persistência. Em setembro-outubro de 2023, o DarkGaté foi protagonista em campanhas via **Microsoft Teams** - onde atacantes usavam contas comprometidas para enviar links maliciosos a funcionarios de empresas-alvo, explorando a confiança inerente ao ambiente corporativo Teams. Essa campanha afetou organizacoes em múltiplos setores globalmente e demonstrou a versatilidade dos vetores de entrega do DarkGaté. **Plataformas:** Windows ## Como Funciona O DarkGaté implementa uma cadeia de execução multi-estagio: 1. **Entrega:** Spearphishing via link malicioso ([[t1566-002-spearphishing-link|T1566.002]]) - email, Teams, Skype ou mensagens diretas; arquivo com dupla extensao ([[t1036-007-double-file-extension|T1036.007]]) para enganar usuarios 2. **Evasão de UAC:** Bypassa User Account Control ([[t1548-002-bypass-user-account-control|T1548.002]]) para execução com privilegios elevados 3. **Anti-debug:** Detecta ambientes de debugger e sandbox ([[t1622-debugger-evasion|T1622]]) e ativa execution guardrails ([[t1480-execution-guardrails|T1480]]) 4. **DLL Hijacking:** Abusa de binarios legiimos do Windows para carregar DLL maliciosa via hijack de fluxo de execução ([[t1574-hijack-execution-flow|T1574]]) 5. **Reconhecimento:** Enumera jánelas abertas ([[t1010-application-window-discovery|T1010]]), armazenamento local ([[t1680-local-storage-discovery|T1680]]), informações do sistema ([[t1082-system-information-discovery|T1082]]) e localidade ([[t1614-system-location-discovery|T1614]]) 6. **Coleta automatica:** Coleta credenciais de browsers, cookies e dados de carteiras de criptomoedas ([[t1119-automated-collection|T1119]]) 7. **C2 via DNS:** Comúnicação com servidor de controle via DNS ([[t1071-004-dns|T1071.004]]) para evasão de inspeção HTTP 8. **Módulos opcionais:** Ativa HVNC, keylogger, minerador ou prepara ambiente para ransomware ([[t1486-data-encrypted-for-impact|T1486]]) ```mermaid graph TB A["Teams / Email / Skype Link malicioso T1566.002"] --> B["DarkGaté Dropper Dupla extensao T1036.007"] B --> C["UAC Bypass T1548.002"] C --> D["Anti-debug / Guardrails T1622 + T1480"] D --> E["DLL Hijacking T1574 - Execução furtiva"] E --> F["Reconhecimento T1082 + T1010 + T1680"] F --> G["Coleta automatica Credenciais / Cookies / Crypto"] G --> H["C2 DNS T1071.004 - Evasão de proxy"] H --> I{"Módulo ativo"} I --> J["HVNC Acesso remoto oculto"] I --> K["Keylogger Captura de credenciais"] I --> L["Ransomware prep T1486 - Criptografia"] ``` ## Timeline de Eventos ```mermaid timeline title DarkGaté - Evolução e Campanhas 2018 : Criado por RastaFarEye em Delphi : Uso restrito, baixa visibilidade 2022 : Aumento de atividade detectado : Primeiro aviso de pesquisadores de segurança 2023-ago : Takedown do QakBot (FBI) : DarkGaté preenche vacuo de mercado 2023-set : Campanhas via Microsoft Teams detectadas : Contas comprometidas como vetor de entrega 2023-out : Campanhas via Skype também identificadas : Prevalencia maxima como loader MaaS 2024 : Concorrencia com PikaBot e Latrodectus : RastaFarEye amplia base de clientes 2025 : DarkGaté continua ativo com novas variantes ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1082-system-information-discovery\|T1082]] | Enumera versao do SO, nome do host e hardware | | [[t1569-002-service-execution\|T1569.002]] | Executa payload via servico do Windows | | [[t1071-004-dns\|T1071.004]] | Usa DNS para comunicação C2 - evasão de proxy HTTP | | [[t1119-automated-collection\|T1119]] | Coleta automatica de credenciais e cookies de browsers | | [[t1574-hijack-execution-flow\|T1574]] | DLL hijacking para execução furtiva e persistência | | [[t1480-execution-guardrails\|T1480]] | Restricoes de execução para dificultar análise | | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypassa UAC para execução com privilegios elevados | | [[t1622-debugger-evasion\|T1622]] | Detecta debugger e para execução se detectado | | [[t1486-data-encrypted-for-impact\|T1486]] | Módulo opcional de criptografia para ransomware | | [[t1566-002-spearphishing-link\|T1566.002]] | Entrega via link malicioso em Teams, Skype, email | | [[t1614-system-location-discovery\|T1614]] | Verifica localidade do sistema (geofencing) | | [[t1680-local-storage-discovery\|T1680]] | Enumera armazenamento local e carteiras crypto | | [[t1010-application-window-discovery\|T1010]] | Detecta jánelas abertas para targeting específico | | [[t1070-004-file-deletion\|T1070.004]] | Remove artefatos após execução | | [[t1036-007-double-file-extension\|T1036.007]] | Mascara tipo real do arquivo com dupla extensao | ## Grupos que Usam - [[ta571|TA571]] - grupo criminoso especializado em distribuição em massa de malware via email e mensageiros corporativos ## Impacto no Brasil e LATAM O DarkGaté representa uma ameaça crescente para organizacoes brasileiras, especialmente aquelas que dependem do Microsoft Teams como plataforma de comunicação corporativa. A campanha de setembro-outubro 2023 demonstrou que ataques via Teams podem ser altamente eficazes em ambientes onde os funcionarios confiam implicitamente em mensagens recebidas pela plataforma. O modelo MaaS do DarkGaté com poucos compradores simultaneos resulta em campanhas altamente focadas e personalizadas - o oposto do phishing em massa. Setores financeiro, energia e governo no Brasil sao alvos de alto valor para os operadores do DarkGaté, que frequentemente usam o malware como primeiro estagio para implantação de ransomware. > [!danger] Vetor via Microsoft Teams > Se sua organização usa Microsoft Teams, implemente politicas que alertem usuarios sobre mensagens de contatos externos com links. O DarkGaté explorou ativamente a confiança no Teams como vetor de entrega em 2023. ## Detecção - Monitorar execução de scripts Autoit3 ou VBS por processos nao-administrativos - Alertar para DLL loading de paths nao-convencionais por binarios legitimos do Windows (sinal de DLL hijacking) - Detectar comunicação DNS incomum por processos que nao sejam browsers ou servicos de sistema - Bloquear execução de arquivos com dupla extensao (ex: `.pdf.exe`, `.docx.exe`) - Implementar politicas de mensagens Teams que limitem links de contatos externos nao verificados - Regras de detecção: consultar [[m1038-execution-prevention|M1038 - Prevenção de Execução]] e [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] ## Referências - [MITRE ATT&CK - S1111](https://attack.mitre.org/software/S1111) - [Proofpoint - DarkGaté Teams Campaigns (2023)](https://www.proofpoint.com/us/blog/threat-insight/darkgaté-opens-organizations-abuse-skype-teams) - [Trellix - DarkGaté Loader Analysis](https://www.trellix.com/blogs/research/darkgaté-loader-delivered-via-teams/) - [ANY.RUN - DarkGaté Malware Trends](https://any.run/malware-trends/darkgaté) - [CrowdStrike - QakBot Successor Landscape](https://www.crowdstrike.com/blog/qakbot-infrastructure-takedown-analysis/)