Skype & Spam do Microsoft Teams se espalha pelo DarkGate Loader

DarkGate Loader Spreads Via Spam in Microsoft Teams and Skype
DarkGate Loader malware resurges, now spreading through Microsoft Teams and Skype.

Ao longo dos últimos anos, DarkGate tem estado relativamente inativo. No entanto, várias implantações de campanha foram detectadas este ano nas Américas, Ásia, o Oriente Médio, e África. Eles começaram a mirar em aplicativos da Microsoft, como Skype e equipes, para se espalhar para sistemas alvo.

O que é o carregador DarkGate?

DarkGate Loader is a type of malware que é capaz de baixar e executando outros tipos de malware, incluindo ransomware, trojans, e mineradores de criptomoedas. Adicionalmente, pode ser usado para extrair dados confidenciais do computador da vítima, como senhas, números de cartão de crédito, e informações pessoais.

Este malware é normalmente distribuído via e-mails de phishing ou anexos maliciosos. Depois de instalado no computador da vítima, pode comunicar-se com um comando remoto e controle (C2) servidor para receber instruções e baixar malware adicional.

Distribuição do DarkGate
Distribuição da campanha DarkGate (Agosto Setembro 2023)

DarkGate Loader vem ganhando popularidade entre os cibercriminosos desde que seu criador o anunciou como uma oferta de malware como serviço em fóruns populares em junho 2023. Anteriormente, O carregador DarkGate era distribuído usando malspam tradicional baseado em e-mail campanhas, semelhantes aos usados ​​​​pelo Emotet. No entanto, um operador começou usando o Microsoft Teams para entregar o malware em agosto, por meio de mensagens de chat de engenharia social com tema de RH. Esta nova tática levou a um aumento no número de infecções do DarkGate Loader.

DarkGate se espalha por meio de equipes da Microsoft e spam do Skype

Uma empresa enfrenta um ataque de phishing direcionado desde o final de setembro. Os atacantes foram usando a funcionalidade do Microsoft Teams para entregar o Malware DarkGate Loader. Felizmente, todos os funcionários foram treinados regularmente para identificar tentativas de phishing, e eles prontamente intervieram. Como resultado, sem funcionários, clientes, ou os recursos da empresa foram prejudicados durante este incidente. A mensagem maliciosa foi bloqueada antes que pudesse chegar a qualquer um dos funcionários.

Mensagem de phishing
Mensagem do Teams com anexo malicioso

Depois de analisar um caso recente, descobrimos que o O malware DarkGate Loader foi entregue na carga útil de um arquivo ZIP. A imagem abaixo ilustra todo o processo de ataque, desde o momento em que a mensagem do Microsoft Teams é enviada até a execução do DarkGate Loader:

Cadeia de ataque do Microsoft Teams

Na próxima amostra, o ator da ameaça explorou um relacionamento confiável entre duas organizações para enganar o destinatário para que execute o script VBA anexado. Ao obter acesso à conta Skype da vítima, o invasor pode assumir o controle de um tópico de mensagens existente e criar nomes de arquivos relacionados ao contexto do histórico de bate-papo.

Cadeia DarkGate
Cadeia de infecção DarkGate abusando do Skype

As vítimas receberam uma mensagem de um conta do Skype comprometida. A mensagem continha um script VBS enganoso com um nome de arquivo que seguia o formato: “ www.skype[.]vbs“. O espaçamento no nome do arquivo foi deliberadamente projetado para enganar o usuário pensando que o arquivo era um documento .PDF, mas na verdade ocultava o formato real, que foi www.skype[.]vbs. Nesta amostra, o destinatário acreditava que o remetente era alguém de um fornecedor externo confiável.

Consequências da instalação

Os especialistas notaram que a ameaça estava funcionando como um downloader de outras cargas úteis. Uma vez o malware DarkGate foi instalado, ele depositou arquivos tanto no <С:/Intel/> e <%appdata%/Adobe/> diretórios, que ajudou na sua tentativa de se disfarçar.

Os arquivos descartados foram identificados como variações do DarkGate ou Remcos, muito provavelmente melhorar os atacantes’ segure o sistema infectado. Abaixo estão alguns dos exemplos de nomes de arquivos que encontramos para essas cargas adicionais:

  • Folkevognsrugbrd.exe
  • logbackup_0.exe
  • sdvbs.exe
  • Sistema de gerenciamento de armas.exe
  • Sdvaners.exe
  • Conta-gotas.exe

Como se proteger contra o DarkDate Loader?

DarkGate Loader é um malware perigoso que pode ser usado para roubar dados confidenciais do seu computador e instalar outros malwares, como ransomware e trojans. Seja você um indivíduo ou uma organização, é importante estar ciente dos riscos apresentados pelo DarkGate Loader e tomar medidas para se proteger.
Para proteger você e sua organização contra o DarkGate Loader, você pode seguir os seguintes passos:

  • Usando um gerenciador de senhas confiável para criar e armazenar fortes, senhas individuais para todas as suas contas são cruciais. Senhas fortes são difíceis de adivinhar e podem proteger suas contas contra ataques de força bruta.
  • Implemente uma solução de filtragem de conteúdo da web para bloquear sites maliciosos. Um filtro de conteúdo da web impede o acesso a sites conhecidos de malware e phishing.
  • Implante um firewall de próxima geração (NGFW) para proteger sua rede contra tráfego malicioso. Um NGFW pode ajudar a detectar e bloquear malware, e-mails de phishing, e outros tipos de ataques cibernéticos.
  • Baixe apenas software e arquivos de fontes confiáveis. Evite baixar arquivos de sites suspeitos ou usar lojas de aplicativos não oficiais.
  • Use EDR/XDR para fornecer monitoramento em tempo real, detecção de ameaças, e recursos de resposta a incidentes em sua rede e endpoints. Essas ferramentas podem identificar atividades incomuns ou suspeitas que podem indicar malware no carregador.

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *