Una nueva campaña de ingeniería social ha aprovechado Microsoft Teams como una forma de facilitar la implementación de un conocido malware llamado DarkGate.
“Un atacante utilizó ingeniería social a través de una llamada de Microsoft Teams para hacerse pasar por el cliente de un usuario y obtener acceso remoto a su sistema”, afirman los investigadores de Trend Micro Catherine Loveria, Jovit Samaniego y Gabriel Nicoleta. dicho.
“El atacante no pudo instalar una aplicación de soporte remoto de Microsoft, pero le indicó a la víctima que descargara AnyDesk, una herramienta comúnmente utilizada para acceso remoto”.
Como lo documentó recientemente la firma de ciberseguridad Rapid7, el ataque implicó bombardear la bandeja de entrada de correo electrónico de un objetivo con “miles de correos electrónicos”, después de lo cual los actores de amenazas se acercaron a ellos a través de Microsoft Teams haciéndose pasar por empleados de un proveedor externo.
Luego, el atacante le indicó a la víctima que instalara AnyDesk en su sistema, y posteriormente se abusó del acceso remoto para entregar múltiples cargas útiles, incluido un ladrón de credenciales y el malware DarkGate.
DarkGate, utilizado activamente desde 2018, es un troyano de acceso remoto (RAT) que desde entonces ha evolucionado hasta convertirse en una oferta de malware como servicio (MaaS) con un número de clientes estrictamente controlado. Entre sus variadas capacidades se encuentran la realización de robo de credenciales, registro de teclas, captura de pantalla, grabación de audio y escritorio remoto.
Un análisis de varias campañas de DarkGate durante el año pasado muestra que se sabe que se distribuye a través de dos cadenas de ataque diferentes que emplean scripts AutoIt y AutoHotKey. En el incidente examinado por Trend Micro, el malware se implementó mediante un script AutoIt.
Aunque el ataque fue bloqueado antes de que se pudieran llevar a cabo actividades de exfiltración de datos, los hallazgos son una señal de cómo los actores de amenazas están utilizando un conjunto diverso de rutas de acceso inicial para la propagación de malware.
Se recomienda a las organizaciones habilitar la autenticación multifactor (MFA), incluir en la lista permitida herramientas de acceso remoto aprobadas, bloquear aplicaciones no verificadas y examinar minuciosamente a los proveedores de soporte técnico externos para eliminar el riesgo de vishing.
El desarrollo se produce en medio de un aumento de diferentes campañas de phishing que han aprovechado diversos señuelos y trucos para engañar a las víctimas para que se deshagan de sus datos.
- Una gran escala Campaña orientada a YouTube en el que los malos actores se hacen pasar por marcas populares y se acercan a los creadores de contenido por correo electrónico para obtener posibles promociones, propuestas de asociación y colaboraciones de marketing, y los instan a hacer clic en un enlace para firmar un acuerdo, lo que en última instancia conduce al despliegue de Lumma Stealer. Las direcciones de correo electrónico de los canales de YouTube se extraen mediante un analizador.
- Una campaña de quishing que hace uso de correos electrónicos de phishing con un archivo PDF adjunto que contiene un código qr archivo adjunto que, cuando se escanea, dirige a los usuarios a una página de inicio de sesión falsa de Microsoft 365 para la recolección de credenciales.
- Los ataques de phishing se aprovechan de la confianza asociada con Páginas y trabajadores de Cloudflare para configurar sitios falsos que imitan las páginas de inicio de sesión de Microsoft 365 y comprobaciones de verificación CAPTCHA falsas para supuestamente revisar o descargar un documento.
- Ataques de phishing que utilizan Archivos adjuntos de correo electrónico HTML que se disfrazan de documentos legítimos, como facturas o políticas de recursos humanos, pero contienen código JavaScript incorporado para ejecutar acciones maliciosas, como redirigir a los usuarios a sitios de phishing, recopilar credenciales y engañar a los usuarios para que ejecuten comandos arbitrarios con el pretexto de corregir un error (es decir, ClickFix). .
- Campañas de phishing por correo electrónico que aprovechan plataformas confiables como Docusign, Adobe InDesign y páginas móviles aceleradas de Google (AMP) para lograr que los usuarios hagan clic en enlaces maliciosos diseñados para recopilar sus credenciales.
- Intentos de phishing que afirman ser de El equipo de soporte de Okta en un intento por obtener acceso a las credenciales de los usuarios y violar los sistemas de la organización.
- Mensajes de phishing dirigidos a usuarios indios que distribuido a través de whatsapp e instruir a los destinatarios para que instalen una aplicación bancaria o de utilidad maliciosa para dispositivos Android que sea capaz de robar información financiera.
También se sabe que los actores de amenazas aprovechan rápidamente los eventos globales en su beneficio incorporándolos a sus campañas de phishing, a menudo aprovechando la urgencia y reacciones emocionales manipular a las víctimas y persuadirlas a realizar acciones no deseadas. Estos esfuerzos también se complementan con registros de dominios con palabras clave específicas de eventos.
“Los eventos globales de alto perfil, incluidos campeonatos deportivos y lanzamientos de productos, atraen a los ciberdelincuentes que buscan explotar el interés público”, Unidad 42 de Palo Alto Networks dicho. “Estos delincuentes registran dominios engañosos que imitan sitios web oficiales para vender mercancías falsificadas y ofrecer servicios fraudulentos”.
“Al monitorear métricas clave como registros de dominio, patrones textuales, anomalías de DNS y tendencias de solicitudes de cambio, los equipos de seguridad pueden identificar y mitigar las amenazas de manera temprana”.
About the Author
