Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Было замечено, что вредоносное ПО, известное как DarkGate, распространяется через платформы обмена мгновенными сообщениями, такие как Skype и Microsoft Teams.
В ходе этих атак приложения для обмена сообщениями используются для доставки скрипта загрузки Visual Basic for Applications (VBA), который маскируется под PDF-документ, который при открытии запускает загрузку и выполнение скрипта AutoIt, предназначенного для запуска вредоносного ПО.
"Неясно, каким образом были скомпрометированы исходные учетные записи приложений для обмена мгновенными сообщениями, однако предполагается, что это произошло либо из-за утечки учетных данных, доступных через подпольные форумы, либо из-за предыдущей компрометации материнской организации", - говорится в новом анализе Trend Micro, опубликованном в четверг.
DarkGate, впервые задокументированная Fortinet в ноябре 2018 года, является товарным вредоносным ПО, которое включает в себя широкий спектр функций для сбора конфиденциальных данных из веб-браузеров, проведения майнинга криптовалют и позволяет своим операторам удаленно управлять зараженными хостами. Она также функционирует как загрузчик дополнительных полезных файлов, таких как Remcos RAT.
В последние месяцы произошел всплеск популярности кампаний социальной инженерии, распространяющих вредоносное ПО, использующее такие тактики первоначального проникновения, как фишинговые электронные письма и отравление поисковой оптимизацией (SEO), чтобы побудить невольных пользователей установить его.
Всплеск произошел после решения автора вредоносного ПО рекламировать вредоносное ПО на подпольных форумах и предоставлять его в аренду другим субъектам угрозы по принципу "вредоносное ПО как услуга" после нескольких лет частного использования.
Truesec ранее указывала на использование сообщения Microsoft Teams chat в качестве вектора распространения DarkGate в начале прошлого месяца, указывая на то, что оно, вероятно, используется несколькими участниками угрозы.
По данным Trend Micro, большинство атак было обнаружено в Северной и Южной Америке, за которыми следуют Азия, Ближний Восток и Африка.
Общая процедура заражения Skype и Teams во многом напоминает кампанию вредоносной рассылки, о которой Telekom Security сообщила в конце августа 2023 года, за исключением изменения первоначального маршрута доступа.
"Злоумышленник злоупотребил доверительными отношениями между двумя организациями, чтобы обманом заставить получателя выполнить прикрепленный скрипт VBA", - заявили исследователи Trend Micro Трент Бесселл, Райан Маглак, Айра Марсело, Джек Уолш и Дэвид Уолш.
"Доступ к учетной записи Skype жертвы позволил злоумышленнику взломать существующую ветку обмена сообщениями и изменить соглашение об именовании файлов, чтобы они соответствовали контексту истории чата".
Скрипт на VBA служит каналом для получения правомерного использования программы (AutoIt3.exe), а также связанный сценария AutoIt, ответственных за осуществление DarkGate обеспечением.
Альтернативная последовательность атак включает отправку злоумышленниками сообщения Microsoft Teams, содержащего вложение ZIP-архива с файлом LNK, который, в свою очередь, предназначен для запуска скрипта VBA для извлечения AutoIt3.exe и артефакта DarkGate.
"Киберпреступники могут использовать эти полезные нагрузки для заражения систем различными типами вредоносных программ, включая похитителей информации, программы-вымогатели, вредоносные и / или злоупотребляемые инструменты удаленного управления и майнеры криптовалют", - заявили исследователи.
"Пока разрешены внешние сообщения или не пресекается злоупотребление доверенными отношениями через скомпрометированные учетные записи, этот метод первоначального входа может быть использован в любых приложениях для обмена мгновенными сообщениями".
