Προσοχή στις απάτες του DarkGate Loader στο Microsoft Teams
Τι πρέπει να ξέρετε
- Οι χάκερ αξιοποιούν μια νέα καμπάνια phishing με την ονομασία «DarkGate Loader» για να παραβιάσουν τους λογαριασμούς του Microsoft Teams.
-
Η τεχνική έχει σχεδιαστεί για να εξαπατήσει ανυποψίαστους χρήστες να κατεβάσουν και να ανοίξουν αρχεία .ZIP με την ένδειξη ‘
Αλλαγές στο πρόγραμμα των διακοπών
στις συσκευές τους. - Η συγκαλυμμένη διαδικασία λήψης χρησιμοποιεί το Windows cURL και το προ-μεταγλωττισμένο σενάριο καθιστά πιο δύσκολο τον εντοπισμό του κακόβουλου λογισμικού, καθώς ο κώδικας είναι κρυμμένος.
Οι χάκερ αξιοποιούν εξελιγμένες τεχνικές για να εξαπατήσουν και να παρασύρουν ανυποψίαστους χρήστες στις κακόβουλες επιθέσεις τους. Προς τα τέλη Αυγούστου,
Η ερευνητική ομάδα του Truesec άρχισε να ερευνά μια νέα διαδικασία
ονομάστηκε «DarkGate Loader».
Αυτή η καμπάνια phishing στέλνει φαινομενικά αβλαβή μηνύματα στους χρήστες του Microsoft Teams. Οι χάκερ χρησιμοποίησαν παραβιασμένους λογαριασμούς του Office 365 για να στείλουν μηνύματα με επιβλαβή συνημμένα σε ανυποψίαστους χρήστες για να τους ξεγελάσουν ώστε να κατεβάσουν και να ανοίξουν αρχεία ZIP με την ένδειξη “
Αλλαγές στο πρόγραμμα των διακοπών.
‘
Λάβετε υπόψη ότι κάνοντας κλικ σε αυτό το αρχείο ZIP ξεκινά αυτόματα μια διαδικασία λήψης από μια διεύθυνση URL του SharePoint που περιέχει ένα
Αρχείο LNK μεταμφιεσμένο σε έγγραφο PDF
(μέσω
TechRadar
.)
Ένα στιγμιότυπο οθόνης μιας τοποθεσίας του SharePoint που φιλοξενεί το αρχείο Αλλάζει στο πρόγραμμα διακοπών.zip.
(Πίστωση εικόνας: Trusec)
Ο Trusec τόνισε τους λογαριασμούς που έχουν παραβιαστεί από τους χάκερ: “Akkaravit Tattamanas” (
) και “ABNER DAVID RIVERA ROJAS” (
), στέλνοντας κακόβουλο αρχείο VBScript μέσα στο αρχείο LNK το οποίο με τη σειρά του αναπτύσσει το κακόβουλο λογισμικό γνωστό ως DarkGate Loader.
Η εξελιγμένη καμπάνια που αξιοποιήθηκε από τους χάκερ καθιστά εξαιρετικά δύσκολο για τους χρήστες να ανιχνεύσουν το κακό παιχνίδι, καθώς η διαδικασία λήψης των αρχείων ZIP χρησιμοποιεί μια διεύθυνση URL του SharePoint. Επιπλέον, το προ-μεταγλωττισμένο σενάριο καθιστά πιο δύσκολο τον εντοπισμό του κακόβουλου λογισμικού, καθώς ο κώδικας είναι κρυμμένος στη μέση του αρχείου.
Σύμφωνα με την εταιρεία ερευνών, το σενάριο μπορεί επίσης να προσδιορίσει εάν ο χρήστης-στόχος έχει εγκατεστημένο το Sophos, ένα δημοφιλές antivirus στο endpoin του, εάν δεν είναι εγκατεστημένο, ο πρόσθετος κώδικας αποκαλύπτεται και εκκινείται ο shellcode, ο οποίος αξιοποιεί μια τεχνική που ονομάζεται “στίβες συμβολοσειρές”. για να δημιουργήσετε το εκτελέσιμο DarkGate και να το φορτώσετε στη μνήμη του συστήματος.
Αυτή η επίθεση εντοπίστηκε λόγω της εκπαίδευσης ευαισθητοποίησης για την ασφάλεια των παραληπτών. Δυστυχώς, οι τρέχουσες δυνατότητες ασφαλείας του Microsoft Teams, όπως τα Ασφαλή συνημμένα ή οι Ασφαλείς σύνδεσμοι, δεν μπόρεσαν να εντοπίσουν ή να αποκλείσουν αυτήν την επίθεση. Αυτήν τη στιγμή, ο μόνος τρόπος για να αποτραπεί αυτό το διάνυσμα επίθεσης στο Microsoft Teams είναι να επιτρέπονται μόνο αιτήματα συνομιλίας του Microsoft Teams από συγκεκριμένους εξωτερικούς τομείς, αν και μπορεί να έχει επιχειρηματικές επιπτώσεις, καθώς όλοι οι αξιόπιστοι εξωτερικοί τομείς πρέπει να περιλαμβάνονται στη λίστα επιτρεπόμενων από έναν διαχειριστή IT.
Ερευνητική Ομάδα Trusec
Δεν είναι η μόνη απάτη που σχετίζεται με το Teams, καθώς μια ομάδα Ρώσων χάκερ με το όνομα Midnight Blizzard χρησιμοποίησε πρόσφατα ένα νέο exploit που επηρέασε λιγότερους από 40 οργανισμούς τον Αύγουστο. Οι χάκερ χρησιμοποίησαν προηγουμένως παραβιασμένους μισθωτές του Microsoft 365 που ανήκαν σε ιδιοκτήτες μικρών επιχειρήσεων για να δημιουργήσουν νέους τομείς που υποτίθεται ότι είναι οντότητες τεχνικής υποστήριξης. Ωστόσο, η Microsoft έκτοτε έχει μετριάσει το ζήτημα και αυτή τη στιγμή ερευνά τον αντίκτυπο της επίθεσης.
Προς το παρόν, θα πρέπει να παραμείνετε σε επαγρύπνηση για μη αναμενόμενα μηνύματα και να ειδοποιήσετε τον διαχειριστή σας εάν εντοπίσετε αυτό το μολυσμένο αρχείο.
