Las campañas de correo electrónico de BattleRoyal incluyen decenas de miles de mensajes dirigidos a docenas de industrias, principalmente ubicadas en Estados Unidos y Canadá. En una de las primeras campañas identificadas por Proofpoint durante el mes de octubre de 2023, se hacía un uso de más de un sistema de entrega de tráfico (TDS) y archivos .URL para explotar una vulnerabilidad en Windows SmartScreen, una función de seguridad diseñada para evitar que los usuarios visiten sitios web maliciosos.
Pese a que otras partes de la cadena de ataque de BattleRoyal iban cambiando, los archivos .URL estaban implicados en todas las campañas. Esto permitía eludir las defensas si el usuario clicaba en un archivo .URL especialmente diseñado o en un hipervínculo que apuntase a un archivo .URL. Concretamente, no se activaría una alerta SmartScreen cuando una .URL apuntara a un recurso compartido SMB o WebDav como file:// y la payload estuviera dentro de un archivo ZIP especificado en el destino de la URL.
Otra de las campañas enviaba solicitudes de actualización del navegador falsas a los usuarios finales, mediante la cual descargaban un archivo .URL similar al de la campaña de correo electrónico descrita anteriormente y la cadena de ataque seguía desde ese punto para entregar DarkGate. Pero, a finales de noviembre y principios de diciembre, los analistas de Proofpoint observaron que BattleRoyal sustituía DarkGate por NetSupport, una herramienta legítima de acceso remoto más consolidada en el arsenal de varios ciberdelincuentes.
“Queda por ver si la razón del cambio de payload se debe al aumento de la popularidad de DarkGate y la consiguiente atención prestada a este malware por la comunidad de seguridad, lo que puede llevar a una reducción de su eficacia, o si simplemente se trata de un cambio temporal”, apunta el equipo de investigación de amenazas de Proofpoint. “La actividad de BattleRoyal, en cualquier caso, se alinea con la tendencia general que observamos de atacantes con cadenas de ataques novedosas, variadas y cada vez más creativas para permitir la distribución de malware, así como de múltiples tipos de técnicas de ingeniería social en un intento de conseguir que los usuarios instalen la payload finalmente”.