Проверьте, может быть ваша переписка в Skype и Teams уже скомпрометирована.
Исследователи из Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы.
Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS -модели (Malware-as-a-Service) другим хакерам.
Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.
По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF -файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.
В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.
Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT ) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.
DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.
Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT , легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.
Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.
Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA ) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.
Исследователи из Trend Micro Для просмотра ссылки Войди
Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS -модели (Malware-as-a-Service) другим хакерам.
Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.
По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF -файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.
В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.
Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT ) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.
DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.
Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT , легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.
Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.
Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA ) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.
- Источник новости
- www.securitylab.ru