Uma nova campanha de phishing foi detectada, na qual os criminosos estão explorando mensagens do Microsoft Teams para enviar anexos maliciosos que, uma vez abertos, instalam o malware DarkGate Loader.
Esta campanha teve início no final de agosto de 2023, quando mensagens de phishing, aparentando serem do Microsoft Teams, foram enviadas a partir de duas contas externas comprometidas do Office 365 para várias outras organizações.
Essas contas foram utilizadas para ludibriar os utilizadores do Microsoft Teams, levando-os a fazer o download e abrir um arquivo ZIP denominado "Alterações na programação de férias".
Ao clicar no anexo, inicia-se o download do arquivo ZIP a partir de um URL do SharePoint, que contém um arquivo LNK disfarçado como um documento PDF.
Uma análise realizada por pesquisadores da Truesec revelou que esta campanha de phishing do Microsoft Teams contém VBScript malicioso que desencadeia uma série de eventos que culminam na instalação do DarkGate Loader.
Para evitar a detecção, o processo de download utiliza o Windows cURL para buscar os arquivos executáveis e de script do malware.
O script é pré-compilado e esconde seu código malicioso no meio do arquivo, começando com "bytes mágicos" que são associados aos scripts AutoIT.
Antes de prosseguir, o script verifica a presença do software antivírus Sophos na máquina de destino. Caso não esteja presente, o código adicional é desofuscado e o shellcode é iniciado.
O shellcode utiliza uma técnica conhecida como "strings empilhadas" para criar o executável DarkGate Windows e carregá-lo na memória.
Nessa campanha, observou-se o uso de contas comprometidas do Microsoft Teams para o envio de anexos maliciosos para outras organizações do Teams.
Essa abordagem de phishing no Microsoft Teams foi demonstrada anteriormente em um relatório de junho de 2023 da Jumpsec, que identificou uma maneira de enviar mensagens maliciosas para outras organizações por meio de phishing e engenharia social, semelhante ao que foi observado nesse ataque.
Apesar da preocupação gerada por essa descoberta, a Microsoft optou por não tomar medidas diretas para mitigar o risco. Em vez disso, recomendou que os administradores adotassem configurações de segurança rigorosas, como listas de permissões de escopo restrito, e desativassem o acesso externo se a comunicação com locatários externos não fosse essencial.
Em julho de 2023, um Red Teamer lançou uma ferramenta que facilitou esse tipo de ataque de phishing no Microsoft Teams, aumentando ainda mais a ameaça.
No entanto, não há indicação de que essa ferramenta específica esteja vinculada à campanha recentemente observada.
O DarkGate tem estado em circulação desde 2017, embora seu uso tenha sido limitado a um grupo restrito de cibercriminosos que o direcionavam a alvos específicos.
Este malware é extremamente versátil, oferecendo suporte a uma ampla gama de atividades maliciosas, incluindo acesso remoto por meio de hVNC, mineração de criptomoedas, shell reverso, keylogging, roubo de área de transferência e coleta de informações (arquivos e dados do navegador).
Em junho de 2023, a ZeroFox relatou que alguém que afirmava ser o autor original do DarkGate tentou vender acesso ao malware a dez pessoas por um preço exorbitante de US$ 100 mil por ano.
Nos meses seguintes, houve vários relatos de um aumento na distribuição do DarkGate, utilizando várias técnicas, incluindo phishing e malvertising.
Embora o DarkGate ainda não seja uma ameaça generalizada, sua crescente segmentação e adoção de várias vias de infecção o tornam uma ameaça emergente que deve ser monitorada de perto.
Comentarios