Νέες επιθέσεις phishing καταχρώνται τα αιτήματα ομαδικής συνομιλίας του Microsoft Teams για την προώθηση κακόβουλων συνημμένων που εγκαθιστούν ωφέλιμα φορτία κακόβουλου λογισμικού DarkGate στα συστήματα των θυμάτων.
Αφού οι στόχοι αποδεχτούν το αίτημα συνομιλίας, οι φορείς απειλών τους ξεγελούν για να κατεβάσουν ένα αρχείο χρησιμοποιώντας μια διπλή επέκταση που ονομάζεται «Πλοήγηση μελλοντικών αλλαγών Οκτωβρίου 2023.pdf.msi», μια κοινή τακτική του DarkGate.
Μόλις εγκατασταθεί, το
κακόβουλο λογισμικό
θα απευθυνθεί στον διακομιστή εντολών και ελέγχου στο hgfdytrywq[.]com, το οποίο έχει ήδη επιβεβαιωθεί ως μέρος της
υποδομή
ς κακόβουλου λογισμικού DarkGate από
Δίκτυα Palo Alto
.
Αυτή η επίθεση phishing είναι δυνατή επειδή η Microsoft επιτρέπει σε εξωτερικούς χρήστες του Microsoft Teams να στέλνουν μηνύματα στους χρήστες άλλων ενοικιαστών από προεπιλογή.
“Εκτός και αν είναι απολύτως απαραίτητο για καθημερινή επαγγελματική χρήση, η απενεργοποίηση της εξωτερικής πρόσβασης στο Microsoft Teams συνιστάται για τις περισσότερες εταιρείες, καθώς το email είναι γενικά ένα πιο ασφαλές και πιο προσεκτικά παρακολουθούμενο κανάλι επικοινωνίας.”
προειδοποίησε
“Όπως πάντα, οι τελικοί χρήστες θα πρέπει να εκπαιδεύονται να δίνουν προσοχή στο από πού προέρχονται τα ανεπιθύμητα μηνύματα και θα πρέπει να τους υπενθυμίζεται ότι το ηλεκτρονικό “ψάρεμα” μπορεί να λάβει πολλές μορφές πέρα από το τυπικό email.”
Ψάρεμα ομαδικής συνομιλίας ομάδων (αναβαθμισμένη για αναγνωσιμότητα)
Το Microsoft Teams έχει γίνει ένας ελκυστικός στόχος για τους παράγοντες απειλών λόγω του
τεράστια δεξαμενή 280 εκατομμυρίων μηνιαίων χρηστών
. Οι χειριστές του DarkGate επωφελούνται από αυτό προωθώντας το κακόβουλο λογισμικό τους μέσω του Microsoft Teams σε επιθέσεις που στοχεύουν οργανισμούς όπου οι διαχειριστές δεν έχουν ασφαλίσει τους ενοικιαστές τους απενεργοποιώντας τη ρύθμιση Εξωτερικής πρόσβασης.
Παρόμοιες καμπάνιες παρατηρήθηκαν πέρυσι που ωθούσαν το κακόβουλο λογισμικό DarkGate μέσω παραβιασμένων εξωτερικών λογαριασμών Office 365 και λογαριασμών
Skype
που έστελναν μηνύματα που περιείχαν συνημμένα σεναρίου φόρτωσης VBA.
Οι μεσίτες αρχικής πρόσβασης όπως το Storm-0324 έχουν χρησιμοποιήσει επίσης το Microsoft Teams για ηλεκτρονικό ψάρεμα για να παραβιάσουν εταιρικά δίκτυα με τη βοήθεια ενός δημοσίως διαθέσιμου εργαλείου που ονομάζεται TeamsPhisher που εκμεταλλεύεται ένα ζήτημα ασφαλείας στο Microsoft Teams.
Το TeamsPhisher επιτρέπει στους εισβολείς να στέλνουν κακόβουλα ωφέλιμα φορτία παρά τις προστασίες από την πλευρά του πελάτη που θα πρέπει να εμποδίσουν την παράδοση αρχείων από λογαριασμούς εξωτερικού μισθωτή.
Το APT29, ένα τμήμα χάκερ της Υπηρεσίας Εξωτερικών Πληροφοριών της Ρωσίας (SVR), εκμεταλλεύτηκε το ίδιο ζήτημα για να στοχεύσει δεκάδες οργανισμούς παγκοσμίως, συμπεριλαμβανομένων κρατικών υπηρεσιών.
Αύξηση επιθέσεων κακόβουλου λογισμικού DarkGate
Στον απόηχο των διεθνών συνεργατικών προσπαθειών που διέκοψαν το botnet Qakbot τον Αύγουστο, οι εγκληματίες του κυβερνοχώρου στρέφονται όλο και περισσότερο στον φορτωτή κακόβουλου λογισμικού DarkGate ως το προτιμώμενο μέσο αρχικής πρόσβασης στα εταιρικά δίκτυα.
Πριν καταργηθεί το botnet Qakbot, ένα άτομο ισχυριζόταν ότι είναι ο προγραμματιστής του DarkGate
προσπάθησε να πουλήσει ετήσιες συνδρομές 100.000 $
σε ένα φόρουμ hacking.
Ο προγραμματιστής του DarkGate είπε ότι περιλαμβάνει
πολλές δυνατότητες
όπως ένα κρυφό VNC, εργαλεία για την παράκαμψη του
Windows
Defender, ένα εργαλείο κλοπής ιστορικού προγράμματος περιήγησης, ένας ενσωματωμένος αντίστροφος διακομιστής μεσολάβησης, ένας
διαχειριστής
αρχείων και ένα πρόγραμμα κλοπής διακριτικών Discord.
Μετά την ανακοίνωση του προγραμματιστή, υπήρξε α
αξιοσημείωτη αύξηση των αναφερόμενων μολύνσεων DarkGate
με κυβερνοεγκληματίες που χρησιμοποιούν διάφορες μεθόδους παράδοσης, μεταξύ των οποίων
phishing
και
κακή διαφήμιση
.
VIA:
bleepingcomputer.com
