Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Преступники рассылают вредоносные сообщения с учетных записей Microsoft Teams и Skype

16/10/23

hack186

Исследователи из Trend Micro обнаружили новую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы. Об этом пишет Securitylab.

Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS-модели (Malware-as-a-Service) другим хакерам.

Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО, пишет Securitylab. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.

По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF-файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.

В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.

Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.

DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.

Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT, легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.

Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.

Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.

Темы:MicrosoftкриптовалютыПреступленияTrend Microэлектронная почта
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...