Uma nova campanha de engenharia social tem utilizado o Microsoft Teams como forma de facilitar a implementação de um malware conhecido como DarkGate.
"Um atacante usou engenharia social por meio de uma chamada do Microsoft Teams para se passar pelo cliente de um usuário e obter acesso remoto ao seu sistema", disseram os pesquisadores da Trend Micro, Catherine Loveria, Jovit Samaniego e Gabriel Nicoleta.
O atacante não conseguiu instalar um aplicativo de Suporte Remoto da Microsoft, mas conseguiu instruir a vítima a baixar o AnyDesk, uma ferramenta comumente usada para acesso remoto.
Conforme documentado recentemente pela empresa de cibersegurança Rapid7, o ataque envolveu bombardear a caixa de entrada de e-mails do alvo com "milhares de emails", após o que os atores de ameaças se aproximaram deles via Microsoft Teams, se passando por um funcionário de um fornecedor externo.
O atacante então instruiu a vítima a instalar o AnyDesk em seu sistema, com o acesso remoto posteriormente abusado para entregar múltiplos payloads, incluindo um ladrão de credenciais e o malware DarkGate.
Ativamente usado no campo desde 2018, o DarkGate é um trojan de acesso remoto (RAT) que desde então evoluiu para uma oferta de malware como serviço (MaaS) com um número estritamente controlado de clientes.
Entre suas capacidades variadas estão a realização de roubo de credenciais, keylogging, captura de tela, gravação de áudio e desktop remoto.
Uma análise de várias campanhas do DarkGate ao longo do último ano mostra que ele é conhecido por ser distribuído através de duas cadeias de ataque diferentes que empregam scripts AutoIt e AutoHotKey.
No incidente examinado pela Trend Micro, o malware foi implantado por meio de um script AutoIt.
Embora o ataque tenha sido bloqueado antes que qualquer atividade de exfiltração de dados pudesse ocorrer, as descobertas são um sinal de como os atores de ameaças estão usando um conjunto diversificado de rotas de acesso inicial para a propagação de malware.
As organizações são recomendadas a habilitar autenticação de múltiplos fatores (MFA), listar as ferramentas de acesso remoto aprovadas, bloquear aplicações não verificadas e examinar minuciosamente os provedores de suporte técnico de terceiros para eliminar o risco de vishing.
Este desenvolvimento surge em meio a um aumento em diferentes campanhas de phishing que empregaram várias iscas e truques para enganar as vítimas a se separarem de seus dados.
Uma campanha de larga escala voltada para o Youtube em que atores mal-intencionados se passam por marcas populares e abordam criadores de conteúdo por email para propostas de promoções, parcerias e colaborações de marketing, e os instigam a clicar em um link para assinar um contrato, levando à implantação do Lumma Stealer.
Os endereços de email dos canais do YouTube são extraídos por meio de um parser.
Uma campanha de quishing que utiliza e-mails de phishing contendo um anexo em PDF com um código QR anexo, que, ao ser escaneado, direciona os usuários para uma página falsa de login do Microsoft 365 para a colheita de credenciais.
Ataques de phishing tiram vantagem da confiança associada ao Cloudflare Pages e Workers para configurar sites falsos que imitam páginas de login do Microsoft 365 e verificações de CAPTCHA falsas, supostamente para revisar ou baixar um documento.
Ataques de phishing que usam anexos de email em HTML disfarçados como documentos legítimos, como faturas ou políticas de RH, mas contêm código JavaScript embutido para executar ações maliciosas, como redirecionar usuários para sites de phishing, colher credenciais e enganar usuários a executarem comandos arbitrários sob o pretexto de corrigir um erro (i.e., ClickFix).
Campanhas de e-mail phishing que aproveitam plataformas confiáveis como Docusign, Adobe InDesign e Google Accelerated Mobile Pages (AMP) para fazer os usuários clicarem em links maliciosos projetados para colher suas credenciais.
Tentativas de phishing que afirmam ser da equipe de suporte da Okta numa tentativa de ganhar acesso às credenciais dos usuários e violar os sistemas da organização.
Mensagens de phishing direcionadas a usuários indianos que são distribuídas via WhatsApp e instruem os destinatários a instalar um aplicativo bancário ou de utilidades malicioso para dispositivos Android capazes de roubar informações financeiras.
Os atores de ameaças também são conhecidos por capitalizar rapidamente em eventos globais a seu favor, incorporando-os em suas campanhas de phishing, muitas vezes se aproveitando da urgência e reações emocionais para manipular as vítimas e persuadi-las a fazer ações não intencionais.
Esses esforços também são complementados por registros de domínio com palavras-chave específicas do evento.
"Eventos globais de alto perfil, incluindo campeonatos esportivos e lançamentos de produtos, atraem cibercriminosos buscando explorar o interesse público", disse a Unidade 42 da Palo Alto Networks.
Esses criminosos registram domínios enganosos imitando websites oficiais para vender mercadorias falsificadas e oferecer serviços fraudulentos.
Monitorando métricas-chave como registros de domínio, padrões textuais, anomalias de DNS e tendências de solicitação de mudança, as equipes de segurança podem identificar e mitigar ameaças cedo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...