Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Opisi virusa, 16.10.2023, 08:30 AM

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams, upozorila je kompanija Trend Micro. Primetan je porast izveštaja koji govore o DarkGate infekcijama do kojih dolazi na različite načine, između ostalih, putem fišing mejlova i zlonamernih reklama.

Mesindžeri se koriste za isporuku VBA skripte koja je maskirana kao PDF dokument. Kada se PDF otvori, preuzima se AutoIt skripta koja treba da pokrene malver DarkGate. Alternativno, napadači šalju Microsoft Teams poruku koja sadrži ZIP fajl u kome se nalazi LNK fajl koji pokreče VBA skriptu.

Nejasno je kako su Skype i Microsoft Teams nalozi kompromitovani, ali se pretpostavlja da napadači koriste procurele kredencijale sa hakerskih foruma ili da je reč o kompanijama gde je Microsoft Teams konfigurisan da prihvata poruke od eksternih korisnika. Kako su objasnili istraživači, za napade na korisnike Microsoft Teamsa koriste se hakovani Office 365 nalozi izvan ciljanih organizacija i javno dostupan alat TeamsPhisher. Ovaj alat omogućava napadačima da zaobiđu ograničenja za dolazne fajlove od eksternih korisnika i pošalju fišing mamce korisnicima Teamsa.

Što se tiče Skypea, napadači koriste postojeće prepiske da prilagode naziv PDF fajla kontekstu razgovora.

„Cilj je i dalje da se prodre u celo okruženje, a u zavisnosti od grupe koja je kupila ili iznajmila DarkGate, pretnje mogu da variraju od ransomwarea do kripto rudarenja“, rekao je Trend Micro. „Iz naše telemetrije, videli smo da DarkGate dovodi do otkrivanja alata koji su obično povezani sa ransomware grupom Black Basta.“

Malver DarkGate se koristi za početni pristup korporativnim mrežama. Upadljivi porast napada povezanih sa DarkGateom primećen je posle međunarodne policijske akcije protiv Qakbot botneta u avgustu. Ovaj trend se poklopio sa odlukom autora malvera da ga prvi put, nakon što je godinama malver korišćen privatno, na forumima sajber podzemlja ponudi kao „malware-as-a-service“, uz godišnju naknadu od 100.000 dolara.

Činjenica da se za širenje DarkGatea koriste i Skype i Microsoft Teams ukazuje na to da malver koristi nekoliko grupa koje nisu međusobno povezane.

DarkGate ima širok spektar funkcija - za prikupljanje osetljivih podataka iz veb pretraživača, rudarenje kriptovaluta i omogućavanje daljinske kontrole zaraženih uređaja. Takođe funkcioniše kao preuzimač drugih malvera, uključujući malvere koji kradu informacije, ransomware i kripto majnere. Treba napomenuti da DarkGate može da zaobiđe zaštite Windows Defendera.

„Sve dok je spoljna razmena poruka dozvoljena ili zloupotreba pouzdanih odnosa preko kompromitovanih naloga nije potvrđena, ova se tehnika za početni ulaz može primeniti na i sa bilo kojom aplikacijom za poruke (IM).“

Foto: Trend Micro