Троянският кон за отдалечен достъп (RAT) DarkGate има нов вектор на атака: Заплахата е насочена към потребител на Microsoft Teams чрез гласово повикване, за да получи достъп до неговото устройство.
Атаката се прибавя към другите методи за разпространение на RAT, който преди това се е разпространявал с помощта на фишинг имейли, злонамерена реклама, отвличане на съобщения в Skype и Teams и отравяне на оптимизацията за търсачки (SEO), казват изследователите.
Изследователите от Trend Micro са открили гласова фишинг или вишинг атака, при която нападателят първоначално се опитва да инсталира приложение за отдалечена поддръжка на Microsoft, за да получи достъп до устройството на потребителя, разкриха те в неотдавнашна публикация в блога. Въпреки че това не е успяло, кибератаките са използвали социално инженерство, за да убедят жертвата да изтегли инструмента AnyDesk за отдалечен достъп, което в крайна сметка са постигнали.
Според Trend Micro нападателят е заредил множество „подозрителни файлове“ на машината на жертвата чрез връзка, установена към сървър за командване и контрол (C2), един от които е бил DarkGate. RAT, разпространяван както обикновено чрез скрипт AutoIt, е позволявал отдалечен контрол върху машината на потребителя, изпълнявал е зловредни команди, събирал е системна информация и се е свързвал със сървър за управление и контрол (C2).
Многоетапна кибератака с вишинг
Многоетапната вишинг атака започна по по-типичен за DarkGate начин, чрез наводнение от хиляди фишинг имейли, изпратени до пощенската кутия на жертвата. Имейлите бяха последвани от обаждане в Microsoft Teams, уж за техническа поддръжка, което даде старт на вишинг атаката.
Обаждащият се е твърдял, че е служител на външен доставчик на компанията на жертвата, който се нуждае от помощ, и е инструктирал жертвата да изтегли приложението Microsoft Remote Support.
„Инсталацията чрез магазина на Microsoft обаче се провали“, пишат в публикацията изследователите на Trend Micro Катрин Ловерия, Йовит Саманиего и Габриел Николета. „След това нападателят инструктира жертвата да изтегли AnyDesk чрез браузъра и манипулира потребителя да въведе своите идентификационни данни за AnyDesk.“
Атакуващият е използвал AnyDesk, за да създаде канал за комуникация с C2 и да инициира различни злонамерени скриптове и накрая PowerShell команда за пускане на DarkGate, като е използвал легитимния инструмент за автоматизация и скриптиране на Windows Autoit, предпочитан от атакуващите за замаскиране и избягване на защитата. След инсталирането атаката също така зарежда файлове и запис в регистъра за запазване на данните.
Друг канал за разпространение на зловредния софтуер DarkGate
Макар че в крайна сметка атаката е спряна, преди да бъдат ексфилтрирани данни от машината на жертвата, тя показва, че участниците в DarkGate използват още едно средство за разпространение на страховития RAT, което се добавя към дългия списък от използвани преди това методи за доставка, казват изследователите.
DarkGate се използва за таргетиране на потребители от цял свят поне от 2017 г. насам и интегрира множество разнообразни и злонамерени функции. Сред възможностите му са изпълнение на команди за събиране на системна информация, картографиране на мрежи и извършване на обхождане на директории, както и стартиране на протокола за отдалечен работен плот (Remote Desktop Protocol – RDP), скрити виртуални мрежови изчисления, AnyDesk и друг софтуер за отдалечен достъп.
DarkGate има и функции за поддръжка на добив на криптовалута, регистриране на клавиши, повишаване на привилегиите и кражба на информация от браузъри и дори е известно, че пренася допълнителни полезни товари, включително други RAT като Remcos.
Как да се предпазите от сложни вишинг атаки
Вишинг атаките стават все по-усъвършенствани от психологическа гледна точка, като нападателите дори прибягват до физическо сплашване, за да принудят жертвите да изпълнят исканията си. Обучението на служителите за признаците на вишинг атака, включително и за запознаване с най-новите тактики, става все по-важно с нарастването на тези атаки.
„Добре информираните служители е по-малко вероятно да станат жертва на социално-инженерни атаки, което укрепва цялостната позиция на организацията по отношение на сигурността“, пишат изследователите.
Организациите също така трябва „внимателно да проверяват доставчиците на техническа поддръжка от трети страни“, за да „гарантират, че всички твърдения за принадлежност към доставчика са пряко проверени, преди да предоставят отдалечен достъп до корпоративните системи“, пишат изследователите. Освен това те трябва да създадат процеси за проверка на облака, за да оценяват и одобряват инструменти за отдалечен достъп, като например AnyDesk, за да оценяват съответствието със сигурността и репутацията на доставчика, преди да ги пуснат в употреба.
Изготвянето на бели списъци на одобрените инструменти за отдалечен достъп и блокирането на всички непроверени приложения, както и интегрирането на многофакторна автентикация (MFA) на инструментите за отдалечен достъп също намаляват „риска от използване на злонамерени инструменти за придобиване на контрол върху вътрешни машини“, пишат изследователите.
