Сперва главное:
🔐 Киберпреступники объединяют Microsoft Teams и AnyDesk для установки вредоносного ПО на устройства своих жертв.
📧 Злоумышленники рассылают спам-письма, а затем связываются с жертвами через Microsoft Teams, выдавая себя за сотрудников внешних поставщиков. Они предлагают помощь и убеждают жертву установить приложение удалённой поддержки Microsoft или AnyDesk.
😈 Если им удаётся получить доступ к устройству, они используют его для доставки различных вредоносных программ, включая DarkGate — многофункциональное ПО, которое может действовать как бэкдор и позволяет злоумышленникам удалённо выполнять команды.
💡 Организации должны обучать сотрудников распознавать фишинговые атаки и атаки социальной инженерии, внедрять многофакторную аутентификацию (MFA) и по возможности размещать большую часть своей инфраструктуры за VPN.
✅ Также важно обновлять программное и аппаратное обеспечение и помнить о сроках службы критически важного оборудования.
Теперь подробнее:
Эксперты предупредили, что киберпреступники комбинируют Microsoft Teams и AnyDesk, чтобы попытаться установить опасное вредоносное программное обеспечение на устройства своих жертв.
В отчёте компании Trend Micro говорится, что злоумышленники сначала рассылают тысячам адресатам спам-письма, а затем связываются через Microsoft Teams, выдавая себя за сотрудников внешнего поставщика.
Предлагая помощь в решении проблемы, злоумышленники инструктируют жертву установить приложение удалённой поддержки Microsoft. Если это не удаётся, они пробуют то же самое с AnyDesk. В случае успеха злоумышленники используют доступ для доставки нескольких полезных нагрузок, включая вредоносную программу под названием DarkGate.
DarkGate — это универсальное вредоносное ПО, которое может действовать как бэкдор в заражённых системах, позволяя злоумышленникам удалённо выполнять команды. Оно может устанавливать дополнительные полезные нагрузки и незаметно передавать конфиденциальные данные. К ценным данным относятся учётные данные для входа, личная информация или данные о клиентах, покупателях и деловых партнёрах.
Одной из его примечательных особенностей является модульная конструкция, позволяющая злоумышленникам изменять функциональность вредоносной программы. Так, в одном сценарии он может выступать в роли похитителя информации, а в другом — в роли дроппера.
Атака была заблокирована до того, как нанесла какой-либо значительный ущерб, но исследователи использовали её как возможность предупредить предприятия о постоянной угрозе, которая таится в Интернете.
Организациям необходимо обучать своих сотрудников распознавать фишинговые атаки и атаки методом социальной инженерии, внедрять многофакторную аутентификацию (MFA), где это возможно, и по возможности размещать большую часть своей инфраструктуры за VPN. Кроме того, им следует постоянно обновлять как программное, так и аппаратное обеспечение и помнить о сроках службы критически важного оборудования.
Наконец, они должны руководствоваться здравым смыслом и не попадаться на очевидные попытки мошенничества, которые широко распространены в Интернете.