Phishing do Microsoft Teams dissemina malware DarkGate através de chats grupais
31 de Janeiro de 2024

Novos ataques de phishing abusam das solicitações de chat em grupo do Microsoft Teams para enviar anexos maliciosos que instalam payloads maliciosas do malware DarkGate nos sistemas das vítimas.

Os atacantes usaram o que parece ser um usuário ou domínio do Teams comprometido para enviar mais de 1.000 convites maliciosos de chat em grupo do Teams, de acordo com a pesquisa de cibersegurança da AT & T.

Depois que os alvos aceitam a solicitação de chat, os atores da ameaça os enganam para baixar um arquivo usando uma extensão dupla chamada 'Navigating Future Changes October 2023.pdf.msi,' uma tática comum do DarkGate.

Uma vez instalado, o malware se conectará ao seu servidor de comando e controle em hgfdytrywq[.]com, que já foi confirmado como parte da infraestrutura de malware do DarkGate pelo Palo Alto Networks.

Esse ataque de phishing é possível porque a Microsoft permite que usuários externos do Microsoft Teams enviem mensagens para outros usuários inquilinos por padrão.

"A menos que seja absolutamente necessário para o uso diário dos negócios, a desativação do Acesso Externo no Microsoft Teams é aconselhável para a maioria das empresas, uma vez que o e-mail é geralmente um canal de comunicação mais seguro e mais monitorado de perto", alertou o engenheiro de segurança de rede da AT&T Cybersecurity, Peter Boyle.

"Como sempre, os usuários finais devem ser treinados para prestar atenção de onde vêm as mensagens não solicitadas e devem ser lembrados de que o phishing pode assumir muitas formas além do e-mail típico."

O Microsoft Teams se tornou um alvo atraente para os atores da ameaça devido ao seu grande pool de 280 milhões de usuários mensais.

Os operadores DarkGate capitalizam isso, propagando seu malware através do Microsoft Teams em ataques direcionados a organizações onde os administradores não protegeram seus inquilinos ao desativar a configuração de Acesso Externo.

Campanhas similares foram observadas no ano passado empurrando o malware DarkGate via contas externas do Office 365 e contas do Skype comprometidas que enviavam mensagens contendo anexos de scripts de carregamento VBA.

Corretores de acesso inicial como Storm-0324 também usaram o Microsoft Teams para phishing para violar redes corporativas com a ajuda de uma ferramenta publicamente disponível chamada TeamsPhisher que explora um problema de segurança no Microsoft Teams.

O TeamsPhisher permite aos atacantes enviar payloads maliciosas apesar das proteções do lado do cliente que deveriam bloquear a entrega de arquivos de contas de inquilinos externos.

O APT29, uma divisão de hackers do Serviço de Inteligência Estrangeira da Rússia (SVR), explorou o mesmo problema para atingir dezenas de organizações ao redor do mundo, incluindo agências governamentais.

Após esforços de colaboração internacional que interromperam a botnet Qakbot em agosto, os cibercriminosos têm investido cada vez mais no carregador de malware DarkGate como seu meio preferido de acesso inicial às redes corporativas.

Antes da botnet Qakbot ter sido derrubada, um indivíduo que alegava ser o desenvolvedor do DarkGate tentou vender assinaturas anuais de $100,000 em um fórum de hacking.

O desenvolvedor do DarkGate disse que inclui muitas capacidades, como um VNC oculto, ferramentas para contornar o Windows Defender, uma ferramenta de roubo de histórico de navegador, um proxy reverso integrado, um gerenciador de arquivos e um ladrão de tokens Discord.

Após o anúncio do desenvolvedor, houve um aumento notável nas infecções reportadas pelo DarkGate, com cibercriminosos empregando diversos métodos de entrega, incluindo phishing e malvertising.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...