Η επίθεση phishing του Microsoft Teams ωθεί το κακόβουλο λογισμικό DarkGate

Μια νέα καμπάνια ηλεκτρονικού ψαρέματος κάνει κατάχρηση των μηνυμάτων του Microsoft

Teams

για την αποστολή κακόβουλων συνημμένων που εγκαθιστούν το κακόβουλο λογισμικό DarkGate Loader.

Η καμπάνια ξεκίνησε στα τέλη Αυγούστου

2023

, όταν παρατηρήθηκαν μηνύματα ηλεκτρονικού ψαρέματος της Microsoft Teams να αποστέλλονται από δύο παραβιασμένους εξωτερικούς λογαριασμούς Office 365 σε άλλους οργανισμούς.

Αυτοί οι λογαριασμοί χρησιμοποιήθηκαν για να εξαπατήσουν άλλους χρήστες του Microsoft Teams ώστε να κατεβάσουν και να ανοίξουν ένα αρχείο ZIP με το όνομα “Αλλαγές στο πρόγραμμα διακοπών”.

Κάνοντας κλικ στο συνημμένο ενεργοποιείται η λήψη του ZIP από μια διεύθυνση URL του SharePoint και περιέχει ένα αρχείο LNK που μεταμφιέζεται σε έγγραφο PDF.

Ερευνητές στο

Truesec

ανέλυσε την καμπάνια phishing του Microsoft Teams και διαπίστωσε ό

τι

περιέχει κακόβουλο VBScript που ενεργοποιεί την αλυσίδα μόλυνσης που οδηγεί σε ένα ωφέλιμο φορτίο που προσδιορίζεται ως DarkGate Loader.

Για να προσπαθήσετε να αποφύγετε τον εντοπισμό, η διαδικασία λήψης χρησιμοποιεί το

Windows

cURL για να ανακτήσει τα εκτελέσιμα αρχεία και τα αρχεία δέσμης ενεργειών του κακόβουλου λογισμικού.

Το σενάριο έφτασε προμεταγλωττισμένο, κρύβοντας τον κακόβουλο κώδικά του στη μέση του αρχείου, ξεκινώντας με διακριτά “μαγικά byte” που σχετίζονται με σενάρια AutoIT.

Πριν προχωρήσετε περαιτέρω, το σενάριο ελέγχει εάν το λογισμικό προστασίας από ιούς Sophos είναι εγκατεστημένο στο στοχευμένο μηχάνημα και αν δεν είναι εγκατεστημένο, απενεργοποιεί τον πρόσθετο κώδικα και εκκινεί τον κώδικα φλοιού.

Ο shellcode χρησιμοποιεί μια τεχνική που ονομάζεται “στοιβαγμένες συμβολοσειρές” για να δημιουργήσει το εκτελέσιμο αρχείο DarkGate των Windows και να το φορτώσει στη μνήμη.

Το “ψάρεμα” του Microsoft Teams

Η καμπάνια που είδαν οι Truesec και

Deutsche Telekom CERT

χρησιμοποιεί παραβιασμένους λογαριασμούς Microsoft Teams για να στείλει τα κακόβουλα συνημμένα σε άλλους οργανισμούς Teams.

Το “phishing” του Microsoft Teams είχε αποδειχθεί παλαιότερα σε μια αναφορά του Ιουνίου 2023 από τον Jumpsec, ο οποίος ανακάλυψε έναν τρόπο αποστολής κακόβουλων μηνυμάτων σε άλλους οργανισμούς μέσω phishing και κοινωνικής μηχανικής, κάτι παρόμοιο με αυτό που βλέπουμε στην αναφερόμενη επίθεση.

Παρά το σάλο που προκλήθηκε από αυτή την ανακάλυψη, η Microsoft αποφάσισε να μην αντιμετωπίσει τον κίνδυνο. Αντίθετα, προτείνουμε στους διαχειριστές να εφαρμόζουν ασφαλείς διαμορφώσεις, όπως λίστες επιτρεπόμενων περιορισμένου εύρους και να απενεργοποιούν την εξωτερική πρόσβαση, εάν δεν απαιτείται

επικοινωνία

με εξωτερικούς ενοικιαστές.

Ένα εργαλείο που κυκλοφόρησε μια Red Teamer τον Ιούλιο του 2023 βελτίωσε αυτήν την επίθεση phishing της Microsoft Teams, αυξάνοντας περαιτέρω την πιθανότητα κατάχρησής της στη φύση.

Ωστόσο, δεν υπάρχει καμία ένδειξη ότι αυτή η μέθοδος εμπλέκεται στην αλυσίδα επιθέσεων της εκστρατείας που παρατηρήθηκε πρόσφατα.

Ανοίγει το DarkGate

Το DarkGate κυκλοφορεί από το 2017, βλέποντας περιορισμένη χρήση από έναν μικρό κύκλο εγκληματιών του κυβερνοχώρου που το χρησιμοποίησαν εναντίον πολύ συγκεκριμένων στόχων.

Είναι ένα ισχυρό κακόβουλο λογισμικό που υποστηρίζει ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, συμπεριλαμβανομένου του hVNC για απομακρυσμένη πρόσβαση, την εξόρυξη κρυπτονομισμάτων, το reverse shell, το keylogging, την κλοπή από το πρόχειρο και την κλοπή πληροφοριών (αρχεία, δεδομένα προγράμματος περιήγησης).

Τον Ιούνιο του 2023,

ανέφερε το ZeroFox

ότι κάποιος που ισχυρίζεται ότι είναι ο αρχικός συγγραφέας του DarkGate προσπάθησε να πουλήσει πρόσβαση στο κακόβουλο λογισμικό σε δέκα άτομα με το παράλογο κόστος των 100 χιλιάδων $/έτος.

Τους επόμενους μήνες, υπήρξαν πολλές αναφορές για αύξηση της διανομής του DarkGate και χρήσης διαφόρων καναλιών, μεταξύ των οποίων

phishing

και

κακή διαφήμιση

.

Αν και το DarkGate μπορεί να μην είναι ακόμη διαδεδομένη απειλή, η διευρυνόμενη στόχευση και η υιοθέτηση πολλαπλών οδών μόλυνσης το καθιστούν μια αναδυόμενη απειλή για στενή παρακολούθηση.