Новости Клиентам Skype и Teams приготовиться: вирус в каждом вашем сообщении

NewsMaker

I'm just a script
Премиум
13,847
20
8 Ноя 2022
Проверьте, может быть ваша переписка в Skype и Teams уже скомпрометирована.


t4kg21ik7cvhircm6ikojxatkbhzfj8q.jpg


Исследователи из Trend Micro Для просмотра ссылки Войди или Зарегистрируйся новую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы.

Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS -модели (Malware-as-a-Service) другим хакерам.

Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.

По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF -файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.

В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.

Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT ) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.

DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.

Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT , легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.

Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.

Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA ) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.
 
Источник новости
www.securitylab.ru

Похожие темы