Νέες επιθέσεις phishing καταχρώνται αιτήματα ομαδικής συνομιλίας στο Microsoft Teams για την προώθηση κακόβουλων συνημμένων που οδηγούν στην εγκατάσταση του DarkGate malware.
Σύμφωνα με ερευνητές της AT&T Cybersecurity, οι επιτιθέμενοι χρησιμοποίησαν κάτι που μοιάζει με παραβιασμένο χρήστη (ή domain) του Teams για να στείλουν πάνω από 1.000 προσκλήσεις για ομαδική συνομιλία στο Microsoft Teams.
Αν οι στόχοι αποδεχτούν το αίτημα συνομιλίας, λαμβάνουν ένα αρχείο το οποίο καλούνται να κατεβάσουν. Το αρχείο ονομάζεται “Navigating Future Changes October 2023.pdf.msi” και περιέχει το DarkGate.
Μόλις εγκατασταθεί στη συσκευή του θύματος, το DarkGate malware θα απευθυνθεί στον command-and-control server του στη διεύθυνση hgfdytrywq[.]com. Αυτή η διεύθυνση έχει επιβεβαιωθεί ως μέρος της υποδομής του DarkGate από την Palo Alto Networks.
Δείτε επίσης: Το 81% των ειδικών ασφαλείας αναφέρει ότι το phishing είναι η κορυφαία απειλή
Οι επιτιθέμενοι πίσω από τη phishing εκστρατεία εκμεταλλεύονται το γεγονός ότι εξωτερικοί χρήστες του Microsoft Teams μπορούν να στέλνουν μηνύματα στους χρήστες άλλων tenants, μια δυνατότητα που είναι διαθέσιμη από προεπιλογή.
Ερευνητής της AT&T Cybersecurity προτείνει στις εταιρείες την απενεργοποίηση της εξωτερικής πρόσβασης στο Microsoft Teams, αν δεν είναι απολύτως απαραίτητη στις καθημερινές επικοινωνίες των χρηστών.
Επιπλέον, οι χρήστες θα πρέπει πάντα να δίνουν προσοχή στην προέλευση των μηνυμάτων και θα πρέπει να έχουν στο νου τους ότι το phishing μπορεί να έχει πολλές μορφές, πέρα από τα emails. Γι’ αυτό το λόγο, χρειάζεται σχετική εκπαίδευση.
Το Microsoft Teams έχει γίνει ελκυστικός στόχος για τους παράγοντες απειλών λόγω της δημοτικότητάς του και των 280 εκατομμυρίων μηνιαίων χρηστών του. Οι χειριστές του DarkGate malware επωφελούνται από τη δυνατότητα της Εξωτερικής πρόσβασης.
Παρόμοιες καμπάνιες παρατηρήθηκαν πέρυσι που ωθούσαν το κακόβουλο λογισμικό DarkGate μέσω παραβιασμένων εξωτερικών λογαριασμών Office 365 και λογαριασμών Skype.
Δείτε επίσης: ΕΛΤΑ: Phishing scam στοχεύει χρήστες iOS
Άλλοι κυβερνοεγκληματίες έχουν, επίσης, χρησιμοποιήσει το Microsoft Teams για phishing, για να παραβιάσουν εταιρικά δίκτυα με τη βοήθεια ενός εργαλείου που ονομάζεται TeamsPhisher.
Το TeamsPhisher εκμεταλλεύεται ένα ζήτημα ασφαλείας στο Microsoft Teams και επιτρέπει στους εισβολείς να στέλνουν κακόβουλα payloads παρά τις προστασίες που θα έπρεπε να εμποδίζουν την παράδοση αρχείων από εξωτερικούς λογαριασμούς.
DarkGate malware
To DarkGate malware αποτελεί αγαπημένο εργαλείο για τους κυβερνοεγκληματίες για την αρχική πρόσβαση στα εταιρικά δίκτυα.
Σύμφωνα με αναρτήσεις του προγραμματιστή του σε hacking forums, το malware διαθέτει πολλές δυνατότητες, όπως ένα κρυφό VNC, εργαλεία για την παράκαμψη του Windows Defender, ένα εργαλείο κλοπής ιστορικού προγράμματος περιήγησης, έναν ενσωματωμένο reverse proxy, έναν διαχειριστή αρχείων και ένα πρόγραμμα κλοπής Discord token.
Μετά την ανακοίνωση του προγραμματιστή, υπήρξε μια αξιοσημείωτη αύξηση στις αναφερόμενες μολύνσεις από το DarkGate, με τους εγκληματίες να το διανέμουν μέσω διαφόρων μεθόδων, συμπεριλαμβανομένου του phishing και του malvertising.
Προστασία
Οι χρήστες του Microsoft Teams μπορούν να προστατεύονται από την παράδοση κακόβουλου λογισμικού με διάφορους τρόπους. Πρώτον, είναι σημαντικό να διατηρούν την εφαρμογή Teams ενημερωμένη. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την εκμετάλλευση πιθανών ευπαθειών για την παράδοση κακόβουλου λογισμικού.
Δείτε επίσης: Πλαστά προγράμματα antivirus χρησιμοποιούνται σε επιθέσεις phishing
Δεύτερον, οι χρήστες πρέπει να είναι προσεκτικοί με τα συνημμένα και τους συνδέσμους που λαμβάνουν μέσω του Teams. Αν δεν περιμένουν ένα συνημμένο ή έναν σύνδεσμο, ή αν κάτι φαίνεται ύποπτο, είναι καλύτερο να μην το ανοίξουν.
Τρίτον, η χρήση ενός αξιόπιστου λογισμικού antivirus στη συσκευή μπορεί να βοηθήσει στην προστασία από τις απειλές. Αυτό το λογισμικό μπορεί να σαρώνει τακτικά τον υπολογιστή για κακόβουλο λογισμικό και να απομακρύνει οποιεσδήποτε απειλές εντοπίσει.
Τέλος, οι χρήστες πρέπει να είναι ενημερωμένοι για τις τελευταίες τακτικές παράδοσης κακόβουλου λογισμικού. Η γνώση των τρόπων με τους οποίους οι επιτιθέμενοι προσπαθούν να παραδώσουν κακόβουλο λογισμικό μπορεί να βοηθήσει τους χρήστες να αναγνωρίσουν και να αποφύγουν αυτές τις απειλές.
Πηγή: www.bleepingcomputer.com