Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Преступники рассылают вредоносные сообщения с учетных записей Microsoft Teams и Skype

16/10/23

hack186

Исследователи из Trend Micro обнаружили новую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы. Об этом пишет Securitylab.

Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS-модели (Malware-as-a-Service) другим хакерам.

Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО, пишет Securitylab. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.

По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF-файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.

В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.

Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.

DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.

Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT, легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.

Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.

Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.

Темы:MicrosoftкриптовалютыПреступленияTrend Microэлектронная почта
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...