Μεταξύ Ιουλίου και Σεπτεμβρίου, οι επιθέσεις κακόβουλου λογισμικού DarkGate χρησιμοποίησαν παραβιασμένους λογαριασμούς Skype για να μολύνουν στόχους μέσω μηνυμάτων που περιείχαν συνημμένα σενάρια VBA loader.
Σύμφωνα με τους ερευνητές ασφαλείας της Trend Micro που εντόπισαν τις επιθέσεις, το σενάριο αυτό κατεβάζει ένα σενάριο AutoIT δεύτερου σταδίου, το οποίο έχει σχεδιαστεί για να ρίξει και να εκτελέσει το τελικό payload του κακόβουλου λογισμικού DarkGate.
Η Trend Micro παρατήρησε επίσης ότι οι χειριστές της DarkGate προσπαθούσαν να προωθήσουν το ωφέλιμο φορτίο του κακόβουλου λογισμικού τους μέσω του Microsoft Teams σε οργανισμούς όπου η υπηρεσία είχε ρυθμιστεί ώστε να δέχεται μηνύματα από εξωτερικούς χρήστες.
Οι εκστρατείες phishing της Teams που χρησιμοποιούν κακόβουλη VBScript για την ανάπτυξη κακόβουλου λογισμικού DarkGate είχαν εντοπιστεί στο παρελθόν από την Truesec και την MalwareBytes.
Όπως εξήγησαν, οι κακόβουλοι φορείς στόχευαν τους χρήστες του Microsoft Teams μέσω παραβιασμένων λογαριασμών Office 365 εκτός των οργανισμών τους και ενός δημόσια διαθέσιμου εργαλείου με την ονομασία TeamsPhisher. Αυτό το εργαλείο επιτρέπει στους επιτιθέμενους να παρακάμπτουν τους περιορισμούς για εισερχόμενα αρχεία από εξωτερικούς μισθωτές και να στέλνουν συνημμένα phishing σε χρήστες του Teams.
Οι εγκληματίες του κυβερνοχώρου έχουν υιοθετήσει όλο και περισσότερο τον φορτωτή κακόβουλου λογισμικού DarkGate για αρχική πρόσβαση σε εταιρικά δίκτυα, μια τάση που παρατηρήθηκε μετά τη διακοπή της λειτουργίας του botnet Qakbot τον Αύγουστο λόγω διεθνών συνεργατικών προσπαθειών.
Πριν από την εξάρθρωση του Qakbot, ένα άτομο που ισχυριζόταν ότι είναι ο προγραμματιστής του DarkGate επιχείρησε να πουλήσει συνδρομές σε ένα φόρουμ χάκερ, αναφέροντας ετήσια αμοιβή έως και 100.000 δολάρια.
Το κακόβουλο λογισμικό φέρεται να προσφέρει ένα ευρύ φάσμα χαρακτηριστικών, όπως ένα κρυφό VNC, δυνατότητες παράκαμψης του Windows Defender, ένα εργαλείο κλοπής ιστορικού προγράμματος περιήγησης, έναν ενσωματωμένο αντίστροφο διακομιστή μεσολάβησης, έναν διαχειριστή αρχείων και έναν κλέφτη διακριτικών Discord.
Μετά από αυτή την ανακοίνωση, υπήρξε μια αξιοσημείωτη αύξηση των αναφορών που τεκμηριώνουν μολύνσεις από το DarkGate μέσω διαφόρων μεθόδων διανομής, όπως phishing και malvertising.
Αυτή η πρόσφατη αύξηση της δραστηριότητας του DarkGate υπογραμμίζει την αυξανόμενη επιρροή αυτής της λειτουργίας malware-as-a-service (MaaS) στη σφαίρα των κυβερνοεγκληματιών.
Τονίζει επίσης την αποφασιστικότητα των φορέων απειλής να συνεχίσουν τις επιθέσεις τους, προσαρμόζοντας τις τακτικές και τις μεθόδους τους παρά τις διαταραχές και τις προκλήσεις.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.