Entre julho e setembro, ataques de malware DarkGate usaram contas comprometidas do Skype para infectar alvos através de mensagens contendo anexos de script VBA.
De acordo com pesquisadores de segurança da Trend Micro, que identificaram os ataques, este script faz o download de um segundo script AutoIT concebido para soltar e executar o payload do malware DarkGate.
"Acesso à conta Skype da vítima permitiu ao ator sequestrar uma conversa existente e modelar a convenção de nomenclatura dos arquivos para se relacionarem com o contexto do histórico de bate-papo", disse a Trend Micro.
"Não está claro como as contas de origem das aplicações de mensagens instantâneas foram comprometidas, no entanto, é hipotetizado que seja através de credenciais vazadas disponíveis através de fóruns clandestinos ou o comprometimento anterior da organização mãe".
A Trend Micro também observou os operadores DarkGate tentando forçar seu payload de malware através do Microsoft Teams em organizações onde o serviço foi configurado para aceitar mensagens de usuários externos.
Campanhas de phishing no Teams utilizando VBScript malicioso para implantar o malware DarkGate foram previamente observadas pela Truesec e MalwareBytes.
Como explicaram, atores maliciosos atacaram usuários do Microsoft Teams através de contas do Office 365 comprometidas fora de suas organizações e uma ferramenta publicamente disponível chamada TeamsPhisher.
Esta ferramenta permite aos atacantes contornar restrições para arquivos recebidos de inquilinos externos e enviar anexos de phishing para usuários do Teams.
"O objetivo ainda é penetrar em todo o ambiente, e dependendo do grupo de ameaças que comprou ou alugou a variante DarkGate usada, as ameaças podem variar de ransomware a criptomineração", disse a Trend Micro.
"A partir de nossa telemetria, vimos o DarkGate levando à detecção de ferramentas comumente associadas ao grupo de ransomware Black Basta."
Cibercriminosos têm adotado cada vez mais o carregador de malware DarkGate para acesso inicial às redes corporativas, uma tendência observada desde a interrupção do botnet Qakbot em agosto devido aos esforços colaborativos internacionais.
Antes do desmantelamento do Qakbot, uma pessoa se passando pelo desenvolvedor do DarkGate tentou vender assinaturas em um fórum de hacking, citando uma taxa anual de até 100.000 dólares.
O malware foi anunciado para oferecer uma ampla gama de recursos, incluindo um VNC oculto, capacidades para contornar o Windows Defender, uma ferramenta de roubo de histórico do navegador, um proxy reverso integrado, um gerenciador de arquivos e um ladrão de tokens do Discord.
Após este anúncio, houve um aumento notável nos relatórios documentando infecções por DarkGate através de vários métodos de entrega, como phishing e malvertising.
Este recente aumento na atividade do DarkGate sublinha a crescente influência desta operação de malware como serviço (MaaS) no contexto do cibercrime.
Também destaca a determinação dos atores de ameaça em continuar seus ataques, adaptando suas táticas e métodos apesar das interrupções e desafios.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...