EN CZ DE PL HU SK

Útočníci zneužívají Microsoft Teams a AnyDesk k nasazení malwaru DarkGate

Nová kampaň využila Microsoft Teams jako prostředek k nasazení známého malwaru DarkGate. „Útočník se prostřednictvím hovoru na Microsoft Teams vydával za klienta uživatele a získal vzdálený přístup k jeho systému,“ uvedli odborníci z Trend Micro Catherine Loveria, Jovit Samaniego a Gabriel Nicoleta. „Útočníkovi se nepodařilo nainstalovat aplikaci Microsoft Remote Support, ale úspěšně instruoval oběť, aby si stáhla AnyDesk, nástroj běžně používaný pro vzdálený přístup.“

Jak nedávno zdokumentovala společnost Rapid7, útok zahrnoval zahlcení e-mailové schránky cíle „tisíci e-mailů“, po kterém útočníci kontaktovali oběť prostřednictvím Microsoft Teams, přičemž se vydávali za zaměstnance externího dodavatele. Útočník poté instruoval oběť, aby si nainstalovala AnyDesk na svůj systém, přičemž vzdálený přístup byl následně zneužit k doručení několika škodlivých pluginů, včetně krádeže přihlašovacích údajů a malwaru DarkGate.

DarkGate, aktivně používaný od roku 2018, je trojský kůň pro vzdálený přístup (RAT), který se od té doby vyvinul v nabídku malware-as-a-service (MaaS) s přísně kontrolovaným počtem zákazníků. Mezi jeho různé schopnosti patří krádež přihlašovacích údajů, keylogging, snímání obrazovky, nahrávání zvuku a vzdálená plocha.

Analýza různých kampaní DarkGate za poslední rok ukazuje, že je známý tím, že je distribuován prostřednictvím dvou různých řetězců, které využívají skripty AutoIt a AutoHotKey. V incidentu zkoumaném Trend Micro byl malware nasazen prostřednictvím skriptu AutoIt.

Ačkoli byl útok zablokován dříve, než mohlo dojít k jakýmkoli aktivitám exfiltrace dat, zjištění jsou známkou toho, jak útočníci využívají různorodé způsoby počátečního přístupu k šíření malwaru.

Organizacím se doporučuje povolit vícefaktorovou autentizaci (MFA), povolit pouze schválené nástroje pro vzdálený přístup, blokovat neověřené aplikace a důkladně prověřovat poskytovatele technické podpory třetích stran, aby se eliminovalo riziko vishingu.

Zdroj: thehackernews

Zdroj: IT SECURITY NETWORK NEWS  

Napsat komentář