Търсене
Close this search box.

Microsoft Teams фишинг прокарва зловреден софтуер DarkGate чрез групови чатове

Нови фишинг атаки използват групови чат заявки на Microsoft Teams, за да изпращат зловредни прикачени файлове, които инсталират зловреден софтуер на DarkGate в системите на жертвите.

Нападателите са използвали нещо, което прилича на компрометиран потребител (или домейн) на Teams, за да изпратят над 1000 злонамерени покани за групов чат на Teams, според проучване на AT&T Cybersecurity.

След като мишените приемат заявката за чат, хакерите ги подмамват да изтеглят файл с двойно разширение, наречен „Navigating Future Changes October 2023.pdf.msi“, което е обичайна тактика на DarkGate.

След като бъде инсталиран, зловредният софтуер ще се свърже със своя сървър за управление и контрол на адрес hgfdytrywq[.]com, който вече е потвърден като част от инфраструктурата на DarkGate за зловреден софтуер от Palo Alto Networks.

Тази фишинг атака е възможна, тъй като Microsoft по подразбиране позволява на външни потребители на Microsoft Teams да изпращат съобщения на потребители на други тенанти.

„Освен ако не е абсолютно необходимо за ежедневна бизнес употреба, деактивирането на външния достъп в Microsoft Teams е препоръчително за повечето компании, тъй като електронната поща по принцип е по-сигурен и по-строго наблюдаван канал за комуникация“, предупреждава инженерът по мрежова сигурност на AT&T Cybersecurity Питър Бойл.

„Както винаги, крайните потребители трябва да бъдат обучени да обръщат внимание на това откъде идват нежеланите съобщения и да им се напомня, че фишингът може да приеме много форми извън типичния имейл.“

Microsoft Teams се превърна в привлекателна цел за заплахите поради огромния си брой от 280 милиона потребители месечно. Операторите на DarkGate се възползват от това, като прокарват своя зловреден софтуер чрез Microsoft Teams в атаки, насочени към организации, в които администраторите не са подсигурили своите тенанти чрез деактивиране на настройката за външен достъп.

Миналата година бяха наблюдавани подобни кампании за прокарване на зловреден софтуер на DarkGate чрез компрометирани външни акаунти в Office 365 и акаунти в Skype, които изпращаха съобщения, съдържащи прикачени скриптове за зареждане на VBA.

Брокери за първоначален достъп като Storm-0324 също са използвали Microsoft Teams за фишинг, за да пробият корпоративни мрежи с помощта на публично достъпен инструмент, наречен TeamsPhisher, който използва проблем със сигурността в Microsoft Teams.

TeamsPhisher позволява на нападателите да изпращат злонамерени полезни товари въпреки защитите от страна на клиента, които би трябвало да блокират доставката на файлове от външни акаунти.

APT29, хакерско подразделение на руската Служба за външно разузнаване (СВР), използва същия проблем, за да атакува десетки организации по света, включително правителствени агенции.

Наплив на атаки със зловреден софтуер DarkGate

След международните съвместни усилия, които разрушиха ботнета Qakbot през август, киберпрестъпниците все по-често се обръщат към зареждащия зловреден софтуер DarkGate като предпочитано средство за първоначален достъп до корпоративни мрежи.

Преди ботнетът Qakbot да бъде разбит, лице, представящо се за разработчик на DarkGate, се опита да продаде годишни абонаменти на стойност 100 000 USD в хакерски форум.

Разработчикът на DarkGate твърди, че той включва много възможности, като например скрит VNC, инструменти за заобикаляне на Windows Defender, инструмент за кражба на история на браузъра, интегриран обратен прокси сървър, файлов мениджър и крадец на токени за Discord.

След съобщението на разработчика се наблюдава забележителен ръст на съобщените инфекции с DarkGate, като киберпрестъпниците използват различни методи за доставка, включително фишинг и злонамерена реклама.

 

Източник: По материали от Интернет

Подобни публикации

15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
Последно добавени
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!