Uma nova campanha de engenharia social está utilizando o Microsoft Teams como vetor para facilitar a implantação do malware DarkGate, conhecido por roubo de credenciais e acesso remoto.
De acordo com os pesquisadores da Trend Micro, Catherine Loveria, Jovit Samaniego e Gabriel Nicoleta, o ataque começou com uma chamada via Microsoft Teams, na qual o invasor se passou por um cliente do usuário para obter acesso remoto ao sistema.
Após falhar na instalação de um aplicativo de suporte remoto da Microsoft, o invasor instruiu a vítima a instalar o AnyDesk, uma ferramenta amplamente usada para acesso remoto.
Segundo a empresa de cibersegurança Rapid7, o ataque inicial incluiu o envio massivo de e-mails à caixa de entrada da vítima, seguido por abordagens via Microsoft Teams, onde o atacante se disfarçou de funcionário de um fornecedor externo. O AnyDesk foi então utilizado para entregar cargas maliciosas, como um stealer de credenciais e o DarkGate.
O DarkGate, ativo desde 2018, evoluiu para um serviço de malware sob demanda (MaaS) com funcionalidades como roubo de credenciais, keylogging, captura de tela, gravação de áudio e acesso remoto ao desktop.
Análises revelam que o DarkGate é comumente distribuído por meio de scripts AutoIt e AutoHotKey. No caso específico analisado pela Trend Micro, o malware foi instalado por meio de um script AutoIt.
Embora o ataque tenha sido interrompido antes da exfiltração de dados, o incidente demonstra como ameaças diversificam suas rotas de acesso inicial para disseminar malware.
Organizações são aconselhadas a:
Habilitar autenticação multifator (MFA);
Permitir apenas ferramentas de acesso remoto aprovadas;
Bloquear aplicativos não verificados;
Auditar fornecedores terceirizados de suporte técnico para mitigar riscos de vishing.
Além disso, os ataques coincidem com o aumento de campanhas de phishing, que exploram técnicas sofisticadas, como:
Campanhas falsas no YouTube, com links maliciosos disfarçados de propostas de parceria;
E-mails com PDFs contendo QR codes que levam a páginas falsas do Microsoft 365;
Uso de serviços confiáveis como Cloudflare para criar sites falsos que imitam logins do Microsoft 365;
Anexos HTML disfarçados de faturas ou políticas de RH, com JavaScript embutido para roubo de credenciais;
Plataformas como Docusign e Google AMP usadas para redirecionar vítimas a links maliciosos;
Mensagens fraudulentas do suporte da Okta para capturar credenciais corporativas;
Golpes via WhatsApp na Índia, incentivando a instalação de aplicativos bancários maliciosos para Android.
Os cibercriminosos também aproveitam eventos globais, como campeonatos esportivos e lançamentos de produtos, para criar domínios falsos que imitam sites oficiais, vendendo produtos falsificados e oferecendo serviços fraudulentos.
Segundo a Palo Alto Networks Unit 42, o monitoramento de métricas como registros de domínio, padrões textuais e anomalias DNS ajuda a identificar e mitigar essas ameaças de forma antecipada.
Via - THN
Comments