Un programa malicioso conocido como Puerta oscura Se ha observado que se propaga a través de plataformas de mensajería instantánea como Skype y Microsoft Teams.
En estos ataques, las aplicaciones de mensajería se utilizan para entregar Visual Basic para aplicaciones (Vba) script de carga que se hace pasar por un documento PDF y que, cuando se abre, desencadena la descarga y ejecución de un script AutoIt diseñado para iniciar el malware.
«No está claro cómo se vieron comprometidas las cuentas originales de las aplicaciones de mensajería instantánea, sin embargo, se supone que fue a través de credenciales filtradas disponibles a través de foros clandestinos o el compromiso previo de la organización matriz», Trend Micro dicho en un nuevo análisis publicado el jueves.
DarkGate, documentado por primera vez por Fortinet en noviembre de 2018, es un malware básico que incorpora una amplia gama de funciones para recopilar datos confidenciales de los navegadores web, realizar minería de criptomonedas y permitir a sus operadores controlar de forma remota los hosts infectados. También funciona como descargador de cargas útiles adicionales como Remcos RAT.
Las campañas de ingeniería social que distribuyen el malware han experimentado un aumento en los últimos meses, aprovechando tácticas de entrada inicial como correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda (SEO) para atraer a usuarios involuntarios a instalarlo.
El aumento sigue a la decisión del autor del malware de anunciarlo en foros clandestinos y alquilarlo como malware como servicio a otros actores de amenazas después de años de usarlo de forma privada.
Truesec destacó previamente el uso del mensaje de chat de Microsoft Teams como vector de propagación para DarkGate a principios del mes pasado, lo que indica que probablemente varios actores de amenazas lo estén utilizando.
La mayoría de los ataques se han detectado en América, seguida de cerca por Asia, Oriente Medio y África, según Trend Micro.
El procedimiento general de infección que abusa de Skype y Teams se parece mucho a una campaña de malspam denunciada por Telekom Security a finales de agosto de 2023, salvo por el cambio en la ruta de acceso inicial.
«El actor de la amenaza abusó de una relación de confianza entre las dos organizaciones para engañar al destinatario para que ejecutara el script VBA adjunto», dijeron los investigadores de Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh y David Walsh.
«El acceso a la cuenta de Skype de la víctima permitió al actor secuestrar un hilo de mensajería existente y crear la convención de nomenclatura de los archivos para relacionarlos con el contexto del historial de chat».
El script VBA sirve como conducto para buscar la aplicación AutoIt legítima (AutoIt3.exe) y un script AutoIT asociado responsable de iniciar el malware DarkGate.
Una secuencia de ataque alternativa implica que los atacantes envíen un mensaje de Microsoft Teams que contiene un archivo adjunto ZIP con un archivo LNK que, a su vez, está diseñado para ejecutar un script VBA para recuperar AutoIt3.exe y el artefacto DarkGate.
«Los ciberdelincuentes pueden usar estas cargas útiles para infectar sistemas con varios tipos de malware, incluidos ladrones de información, ransomware, herramientas de administración remota maliciosas y/o abusadas y mineros de criptomonedas», dijeron los investigadores.
«Siempre que se permita la mensajería externa o no se controle el abuso de relaciones de confianza a través de cuentas comprometidas, esta técnica de entrada inicial se puede realizar con cualquier aplicación de mensajería instantánea (IM)».