Μια νέα καμπάνια ηλεκτρονικού phishing εκμεταλλεύεται τα μηνύματα του Microsoft Teams για να αποστείλει κακόβουλα συνημμένα που εγκαθιστούν το κακόβουλο λογισμικό DarkGate Loader.
Δείτε επίσης: Microsoft Teams: Πώς να αποκρύψετε μια συνομιλία;
Η καμπάνια ξεκίνησε τον Αύγουστο του 2023, όταν παρατηρήθηκαν ανεπιθύμητα μηνύματα ηλεκτρονικού ψαρέματος να αποστέλλονται από δύο παραβιασμένους εξωτερικούς λογαριασμούς Office 365 της Microsoft Teams σε άλλους οργανισμούς.
Οι συγκεκριμένοι λογαριασμοί χρησιμοποιήθηκαν με σκοπό να εξαπατήσουν άλλους χρήστες του Microsoft Teams, προκειμένου να κατεβάσουν και να ανοίξουν ένα αρχείο ZIP με τον τίτλο “Αλλαγές στο πρόγραμμα διακοπών“. Με το πάτημα του συνημμένου, θα ξεκινήσει η λήψη ενός αρχείου ZIP από μια διεύθυνση URL του SharePoint. Αυτό το ZIP περιέχει ένα αρχείο LNK το οποίο είναι μεταμφιεσμένο ως έγγραφο PDF.
Οι ερευνητές της Truesec ανέλυσαν την εκστρατεία του Microsoft Teams και διαπίστωσαν ότι περιλαμβάνει κακόβουλο VBScript που ενεργοποιεί μια αλυσίδα μόλυνσης με αποτέλεσμα να εγκατασταθεί ένα ωφέλιμο φορτίο που αναγνωρίζεται ως DarkGate Loader.
Για να αποφύγει την ανίχνευση, η διαδικασία λήψης χρησιμοποιεί το Windows cURL για να ανακτήσει τα εκτελέσιμα αρχεία και τα αρχεία δέσμης ενεργειών του κακόβουλου λογισμικού. Το προμεταγλωττισμένο σενάριο κρύβει τον κακόβουλο κώδικά του στη μέση του αρχείου, ξεκινώντας με διακριτά “μαγικά byte” που σχετίζονται με σενάρια AutoIT.
Δείτε ακόμα: Microsoft Teams: Πώς να χρησιμοποιήσετε τα φίλτρα της Maybelline;
Προτού προχωρήσει, το σενάριο ελέγχει εάν το λογισμικό προστασίας από ιούς Sophos είναι εγκατεστημένο στο μηχάνημα στόχο. Εάν δεν είναι εγκατεστημένο, απενεργοποιεί τον πρόσθετο κώδικα και εκκινεί το shellcode.
Το shellcode χρησιμοποιεί μια τεχνική γνωστή ως “στοίβαση συμβολοσειρών” για να δημιουργήσει το εκτελέσιμο αρχείο DarkGate για τα Windows και να το φορτώσει στη μνήμη.
Η καμπάνια που εντοπίστηκε από τις εταιρείες Truesec και Deutsche Telekom CERT χρησιμοποιεί παραβιασμένους λογαριασμούς του Microsoft Teams για να αποστείλει κακόβουλα συνημμένα σε άλλους οργανισμούς που χρησιμοποιούν το Teams.
Η αναφερόμενη επίθεση “phishing” του Microsoft Teams είχε αποκαλυφθεί προηγουμένως σε μια έκθεση του Ιουνίου 2023 από τη Jumpsec. Η Jumpsec είχε ανακαλύψει έναν τρόπο αποστολής κακόβουλων μηνυμάτων σε άλλους οργανισμούς μέσω τεχνικών “phishing” και κοινωνικής μηχανικής, παρόμοιων με αυτά που περιγράφονται στην αναφερόμενη επίθεση.
Παρά τον σάλο που προκλήθηκε από αυτήν την ανακάλυψη, η Microsoft αποφάσισε να μην αντιμετωπίσει τον κίνδυνο. Αντίθετα, συνιστά στους διαχειριστές να χρησιμοποιούν ασφαλείς διαμορφώσεις, όπως λίστες με περιορισμένο εύρος και να απενεργοποιούν την εξωτερική πρόσβαση, εκτός αν απαιτείται επικοινωνία με εξωτερικούς χρήστες.
Ένα εργαλείο που δημοσιεύθηκε από έναν επαγγελματία Red Teamer τον Ιούλιο του 2023 βελτίωσε την επίθεση phishing του Microsoft Teams, αυξάνοντας περαιτέρω την πιθανότητα κατάχρησής της. Ωστόσο, δεν υπάρχει καμία ένδειξη ότι αυτή η μέθοδος συνδέεται με την αλυσίδα επιθέσεων που παρατηρήθηκε πρόσφατα στην εκστρατεία.
Δείτε επίσης: Ρώσοι hackers στοχεύουν κυβερνητικούς οργανισμούς σε επιθέσεις phishing της Microsoft Teams
Το DarkGate είναι ένα ιδιαίτερα επικίνδυνο κακόβουλο λογισμικό το οποίο ειδικεύεται στην κλοπή δεδομένων και την εκμετάλλευση των υπολογιστικών συστημάτων των θυμάτων για κρυπτογράφηση. Το DarkGate εισάγεται στους στόχους του χρησιμοποιώντας επιθέσεις phishing και αξιοποιεί την έλλειψη επαρκούς προστασίας στις ψηφιακές πλατφόρμες επικοινωνίας, όπως το Microsoft Teams. Παρά τις προσπάθειες προστασίας και ανίχνευσης, το DarkGate συνεχίζει να αποτελεί σημαντική απειλή για οργανισμούς και εταιρείες σε όλο τον κόσμο.
