Найти тему

Хакеры распространяют вредоносный загрузчик DarkGate в чатах Microsoft Teams

Изображение:
Turag Photography (unsplash)

Специалисты по информационной безопасности из TrueSec сообщили о выявлении новой киберпреступной кампании. В рамках этой операции злоумышленники используют два скомпрометированных аккаунта Office 365 для отправки фишинговых чат-сообщений от отдела кадров (HR).

Если пользователь переходит по предложенной в чате ссылке, на его устройство начинается загрузка вредоносного ПО DarkGate Loader с удаленного хоста. По данным специалистов компании TrueSec, хакеры получили доступ к аккаунтам с помощью вредоносного программного обеспечения и предложили их к продаже на черных рынках интернета.

Эта киберпреступная кампания была обнаружена в конце августа 2023 года. Фальшивые сообщения, отправляемые от имени отделов кадров крупных компаний, предлагают сотрудникам ознакомиться с «изменениями в графике отпусков», для чего нужно перейти по указанной ссылке и скачать архив.

Анализ этого архива показал, что в его составе находится вредоносное ZIP-вложение с файлом .lnk, маскирующимся под PDF-документ. Заражение запускается с помощью VBScript, а для выполнения загрузки используется инструментарий командной строки Windows cURL. В результате на устройство пользователя загружается модульный загрузчик DarkGate, также известный как MehCrypter. Этот вредонос был известен специалистам в области безопасности с 2017 года и может загружать криптомайнеры, другие вредоносные программы и обходить защиту многих известных антивирусов. Он также предоставляет удаленный доступ к устройству пользователя.

На данный момент активность DarkGate Loader отмечена экспертами TrueSec как высокая. По словам аналитиков, этим вредоносом пользуется пока одна хакерская группа, причем не в каждой своей атаке.

В августе 2023 года вредонос активно рекламировался на теневых форумах интернета в качестве MaaS (Malware-as-a-Service), что предполагает, что его присутствие в интернете может в ближайшее время заметно увеличиться. Пользователей в компании TrueSec предупредили, что для распространения DarkGate Loader могут использоваться не только фишинговые письма, но и торрент-трекеры, вредоносные рекламные баннеры и массовые email-рассылки.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.