Malware DarkGate se šíří prostřednictvím napadených účtů Skype

Zpět na blog

Od července do září využívaly útoky malwaru DarkGate kompromitované účty Skype k infikování cílů prostřednictvím zpráv obsahujících přílohy skriptů VBA loader.

Podle bezpečnostních výzkumníků ze společnosti Trend Micro, kteří útoky zaznamenali, tento skript stahuje druhostupňový skript AutoIT určený k vysazení a spuštění finální zátěže malwaru DarkGate.

„Přístup k účtu Skype oběti umožnil aktérovi převzít existující vlákno zpráv a vytvořit konvenci pojmenování souborů tak, aby souvisela s kontextem historie chatu,“ uvedla společnost Trend Micro.

„Není jasné, jak byly kompromitovány účty původců aplikací pro rychlé zasílání zpráv, nicméně se předpokládá, že to bylo buď prostřednictvím uniklých pověření dostupných prostřednictvím undergroundových fór, nebo předchozí kompromitací mateřské organizace,“

Společnost Trend Micro také zaznamenala, že se provozovatelé DarkGate snažili prosadit svůj malwarový payload prostřednictvím služby Microsoft Teams v organizacích, kde byla tato služba nakonfigurována tak, aby přijímala zprávy od externích uživatelů.

Na Phishingové kampaně Teams využívající škodlivý VBScript k nasazení malwaru DarkGate již dříve upozornily společnosti Truesec a MalwareBytes. Podle nich se útočníci zaměřili na uživatele využívající Teams prostřednictvím kompromitovaných účtů Microsoft 365 mimo organizace a veřejně dostupného nástroje TeamsPhisher. Tento nástroj umožňuje útočníkům obejít omezení pro příchozí soubory od externistů a odeslat uživatelům Teams phishingové přílohy.

Doručení DarkGate přes Skype

„Cílem je stále proniknout do celého prostředí a v závislosti na útočnících, kteří si koupili nebo pronajali určitou variantu DarkGate, se mohou hrozby lišit od ransomwaru až po cryptostealery,“ uvedla společnost Trend Micro.

„Z naší telemetrie vyplývá, že DarkGate vedoucí k detekci nástrojů je běžně spojován se skupinou Black Basta.“

Vzestup malwaru DarkGate

Kyberzločinci stále častěji využívají zavaděč malwaru DarkGate pro prvotní přístup do podnikových sítí, což je trend pozorovaný od srpnového narušení botnetu Qakbot.

Před likvidací Qakbotu se osoba, která se vydávala za vývojáře DarkGate, pokoušela prodávat předplatné na hackerském fóru a požadovala roční poplatek až 100 000 dolarů.

Škodlivý software měl nabízet širokou škálu funkcí, včetně skrytého VNC, schopnosti obejít Windows Defender, nástroje pro krádež historie prohlížeče, integrovaného reverzního proxy serveru, správce souborů a nástroje pro krádež tokenů Discord.

Po tomto oznámení došlo ke znatelnému nárůstu zpráv dokumentujících infekce DarkGate prostřednictvím různých způsobů doručení, jako je phishing a malvertising.

Tento nedávný nárůst aktivity DarkGate podtrhuje rostoucí vliv malwaru jako služby (MaaS) v kyberzločinecké sféře.

Zdůrazňuje také odhodlání aktérů hrozeb pokračovat ve svých útocích a přizpůsobovat své taktiky a metody navzdory narušením a výzvám.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: Mati Flo on Unsplash

18. 10. 2023