Uma nova campanha de phishing está abusando de mensagens da Microsoft Teams para enviar anexos maliciosos que instalam o malware DarkGate Loader.
A campanha começou no final de agosto de 2023, quando mensagens de phishing do Microsoft Teams foram vistas sendo enviadas por duas contas externas do Office 365 comprometidas para outras organizações.
Essas contas foram usadas para enganar outros usuários do Microsoft Teams para baixar e abrir um arquivo ZIP chamado "Alterações no cronograma de férias".
Clicar no anexo aciona o download do ZIP de um URL do SharePoint e contém um arquivo LNK se disfarçando como um documento PDF.
Pesquisadores da Truesec analisaram a campanha de phishing do Microsoft Teams e descobriram que ela contém VBScript malicioso que aciona a cadeia de infecção que leva a um payload identificadao como DarkGate Loader.
Para tentar evadir a detecção, o processo de download utiliza o Windows cURL para buscar os arquivos executáveis e de script do malware.
O script chegou pré-compilado, escondendo seu código malicioso no meio do arquivo, começando com "bytes mágicos" distintos associados a scripts AutoIT.
Antes de prosseguir, o script verifica se o software antivírus Sophos está instalado na máquina alvo e, se não estiver, desofusca um código adicional e lança o shellcode.
O shellcode usa uma técnica chamada "stacked strings" para construir o executável DarkGate do Windows e carregá-lo na memória.
A campanha vista pela Truesec e pela Deutsche Telekom CERT utiliza contas comprometidas da Microsoft Teams para enviar os anexos maliciosos para outras organizações do Teams.
Phishing do Microsoft Teams foi demonstrado previamente em um relatório de junho de 2023 pela Jumpsec, que descobriu uma maneira de enviar mensagens maliciosas a outras organizações por meio de phishing e engenharia social, semelhante ao que vemos no ataque relatado.
Apesar do alvoroço causado por essa descoberta, a Microsoft decidiu não abordar o risco.
Em vez disso, recomendou que os administradores apliquem configurações seguras como listas de permissões de escopo estreito e desativem o acesso externo se a comunicação com os inquilinos externos não for necessária.
Uma ferramenta lançada por um membro da equipe Red em julho de 2023 simplificou esse ataque de phishing do Microsoft Teams, aumentando ainda mais a probabilidade de ser abusado em ambiente real.
No entanto, não há indicação de que este método esteja envolvido na cadeia de ataque da campanha recentemente observada.
DarkGate está em circulação desde 2017, com uso limitado por um pequeno círculo de cibercriminosos que o usaram contra alvos muito específicos.
É um malware potente que suporta uma ampla gama de atividades maliciosas, incluindo hVNC para acesso remoto, mineração de criptomoedas, shell reverso, keylogging, roubo de área de transferência e roubo de informações (arquivos, dados do navegador).
Em junho de 2023, a ZeroFox relatou que alguém se apresentando como o autor original do DarkGate tentou vender o acesso ao malware para dez pessoas pelo custo absurdo de $100k/ano.
Nos meses seguintes, houve vários relatos de aumento na distribuição do DarkGate e uso de vários canais, incluindo phishing e malvertising.
Embora o DarkGate ainda não seja uma ameaça generalizada, seu alvo em expansão e adoção de múltiplas formas de infecção o tornam uma ameaça emergente a ser monitorada de perto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...