Una nueva campaña de ingeniería social ha explotado Microsoft Teams como una forma de solucionar la implementación de un conocido malware llamado DarkGate.
«Un atacante utilizó ingeniería social a través de una llamamiento de Microsoft Teams para hacerse producirse por el cliente de un beneficiario y obtener entrada remoto a su sistema», dijeron los investigadores de Trend Micro Catherine Loveria, Jovit Samaniego y Gabriel Nicoleta.
«El atacante no pudo instalar una aplicación de soporte remoto de Microsoft, pero le indicó a la víctima que descargara AnyDesk, una aparejo comúnmente utilizada para entrada remoto».
Como lo documentó recientemente la firma de ciberseguridad Rapid7, el ataque implicó hostigar la bandeja de entrada de correo electrónico de un objetivo con «miles de correos electrónicos», posteriormente de lo cual los actores de amenazas se acercaron a ellos a través de Microsoft Teams haciéndose producirse por empleados de un proveedor foráneo.
Luego, el atacante le indicó a la víctima que instalara AnyDesk en su sistema, y seguidamente se abusó del entrada remoto para entregar múltiples cargas aperos, incluido un estafador de credenciales y el malware DarkGate.
DarkGate, utilizado activamente desde 2018, es un troyano de entrada remoto (RAT) que desde entonces ha evolucionado hasta convertirse en una proposición de malware como servicio (MaaS) con un número de clientes estrictamente controlado. Entre sus variadas capacidades se encuentran la realización de robo de credenciales, registro de teclas, captura de pantalla, compacto de audio y escritorio remoto.
Un estudio de varias campañas de DarkGate durante el año pasado muestra que se sabe que se distribuye a través de dos cadenas de ataque diferentes que emplean scripts AutoIt y AutoHotKey. En el incidente examinado por Trend Micro, el malware se implementó mediante un script AutoIt.
Aunque el ataque fue bloqueado antaño de que se pudieran padecer a término actividades de exfiltración de datos, los hallazgos son una señal de cómo los actores de amenazas están utilizando un conjunto diverso de rutas de entrada auténtico para la propagación de malware.
Se recomienda a las organizaciones habilitar la autenticación multifactor (MFA), incluir en la inventario permitida herramientas de entrada remoto aprobadas, cortar aplicaciones no verificadas y examinar minuciosamente a los proveedores de soporte técnico externos para eliminar el aventura de vishing.
El explicación se produce en medio de un aumento de diferentes campañas de phishing que han explotado diversos señuelos y trucos para engañar a las víctimas para que se deshagan de sus datos.
- Una campaña a gran escalera orientada a YouTube en la que los malos actores se hacen producirse por marcas populares y se acercan a los creadores de contenido por correo electrónico para obtener posibles promociones, propuestas de asociación y colaboraciones de marketing, y los instan a hacer clic en un enlace para firmar un acuerdo, lo que en última instancia conduce a la implementación. de Lumma Stealer. Las direcciones de correo electrónico de los canales de YouTube se extraen mediante un analizador.
- Una campaña de quishing que utiliza correos electrónicos de phishing con un archivo PDF adjunto que contiene un código QR adjunto que, cuando se escanea, dirige a los usuarios a una página de inicio de sesión falsa de Microsoft 365 para la cosecha de credenciales.
- Los ataques de phishing aprovechan la confianza asociada con Cloudflare Pages and Workers para configurar sitios falsos que imitan las páginas de inicio de sesión de Microsoft 365 y verificaciones de demostración CAPTCHA falsas para supuestamente revisar o descargar un documento.
- Ataques de phishing que utilizan archivos adjuntos de correo electrónico HTML disfrazados de documentos legítimos, como facturas o políticas de capital humanos, pero que contienen código JavaScript incrustado para ejecutar acciones maliciosas, como redirigir a los usuarios a sitios de phishing, compilar credenciales y engañar a los usuarios para que ejecuten comandos arbitrarios con el pretexto de arreglar un error (es afirmar, ClickFix).
- Campañas de phishing por correo electrónico que aprovechan plataformas confiables como Docusign, Adobe InDesign y Google Accelerated Mobile Pages (AMP) para que los usuarios hagan clic en enlaces maliciosos diseñados para compilar sus credenciales.
- Intentos de phishing que afirman provenir del equipo de soporte de Okta en un intento por obtener entrada a las credenciales de los usuarios y violar los sistemas de la estructura.
- Mensajes de phishing dirigidos a usuarios indios que se distribuyen a través de WhatsApp e instruyen a los destinatarios a instalar una aplicación bancaria o de utilidad maliciosa para dispositivos Android que son capaces de robar información financiera.
Igualmente se sabe que los actores de amenazas aprovechan rápidamente los eventos globales para su beneficio incorporándolos a sus campañas de phishing, a menudo aprovechando la emergencia y las reacciones emocionales para manipular a las víctimas y persuadirlas a realizar acciones no deseadas. Estos esfuerzos todavía se complementan con registros de dominios con palabras secreto específicas de eventos.
«Los eventos globales de suspensión perfil, incluidos los campeonatos deportivos y los lanzamientos de productos, atraen a los ciberdelincuentes que buscan explotar el interés sabido», dijo la Pelotón 42 de Palo Stop Networks. «Estos delincuentes registran dominios engañosos que imitan sitios web oficiales para traicionar mercancías falsificadas y ofrecer servicios fraudulentos».
«Al monitorear métricas secreto como registros de dominio, patrones textuales, anomalías de DNS y tendencias de solicitudes de cambio, los equipos de seguridad pueden identificar y mitigar las amenazas de guisa temprana».