Новая фишинговая кампания использует сообщения Microsoft Teams для отправки вредоносных вложений, устанавливающих вредоносную программу DarkGate Loader.
Кампания началась в конце августа 2023 года, когда были замечены фишинговые сообщения Microsoft Teams, рассылаемые двумя скомпрометированными внешними учетными записями Office 365 в другие организации.
Эти учетные записи использовались для того, чтобы обманом заставить других пользователей Microsoft Teams загрузить и открыть ZIP-файл под названием "Изменения в графике отпусков".
Щелчок на вложении запускает загрузку ZIP-файла с URL-адреса SharePoint, содержащего LNK-файл, маскирующийся под PDF-документ.
Исследователи компании Truesec проанализировали фишинговую кампанию Microsoft Teams и обнаружили, что она содержит вредоносный скрипт VBScript, запускающий цепочку заражения, которая приводит к появлению полезной нагрузки, идентифицированной как DarkGate Loader.
Чтобы избежать обнаружения, в процессе загрузки используется Windows cURL для получения исполняемых файлов и скриптов вредоносной программы.
Скрипт поставляется в предварительно скомпилированном виде, скрывая свой вредоносный код в середине файла, начиная с отличимых "магических байтов", ассоциируемых с AutoIT-скриптами.
Прежде чем продолжить работу, скрипт проверяет, установлено ли на целевой машине антивирусное ПО Sophos, и если нет, то деобфусцирует дополнительный код и запускает шелл-код.
Для создания исполняемого файла DarkGate Windows и его загрузки в память шелл-код использует технику "стекированных строк".
Фишинг в Microsoft Teams
Кампания, замеченная Truesec и Deutsche Telekom CERT, использует скомпрометированные учетные записи Microsoft Teams для рассылки вредоносных вложений другим организациям, работающим с Teams.
Ранее фишинг Microsoft Teams был продемонстрирован в отчете Jumpsec за июнь 2023 года, в котором был обнаружен способ рассылки вредоносных сообщений другим организациям с помощью фишинга и социальной инженерии, аналогичный тому, что мы видим в представленной атаке.
Несмотря на ажиотаж, вызванный этим открытием, компания Microsoft решила не устранять этот риск. Вместо этого она рекомендует администраторам применять безопасные конфигурации, такие как узкоспециализированные списки разрешений, и отключать внешний доступ, если связь с внешними арендаторами не требуется.
В июле 2023 года один из участников программы Red Team выпустил инструмент, упрощающий эту фишинговую атаку Microsoft Teams, что еще больше увеличивает вероятность ее распространения.
Однако нет никаких признаков того, что этот метод задействован в цепочке атак недавно замеченной кампании.
DarkGate открывает
DarkGate циркулирует с 2017 года, и его использование ограничено узким кругом киберпреступников, которые применяли его против очень специфических целей.
Это мощное вредоносное ПО, поддерживающее широкий спектр вредоносных действий, включая hVNC для удаленного доступа, майнинг криптовалюты, reverse shell, кейлоггинг, кражу буфера обмена и кражу информации (файлы, данные браузера).
В июне 2023 года ZeroFox сообщил, что некто, выдающий себя за оригинального автора DarkGate, пытался продать доступ к вредоносной программе десяти людям за абсурдную сумму в 100 тыс. долл. в год.
В последующие месяцы появилось множество сообщений об активизации распространения DarkGate с использованием различных каналов, включая фишинг и вредоносную рекламу.
Хотя DarkGate, возможно, пока не является широко распространенной угрозой, ее расширение и использование различных способов заражения делают ее новой угрозой, за которой следует внимательно следить.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
