Un recente attacco informatico ha sfruttato Microsoft Teams come vettore per distribuire il malware noto come DarkGate. Gli aggressori hanno utilizzato tecniche di ingegneria sociale mediante una chiamata su Microsoft Teams per impersonare un cliente e ottenere l'accesso remoto al sistema dell'utente. Nonostante il fallimento nel tentativo di installare un'applicazione di supporto remoto di Microsoft, gli aggressori sono riusciti a indurre la vittima a scaricare AnyDesk, un noto software di accesso remoto. Questo accesso remoto è stato poi usato per distribuire diversi payload, tra cui un ladro di credenziali e il malware DarkGate stesso.

DarkGate

Attivo dal 2018, è un trojan di accesso remoto (RAT) che si è evoluto in un'offerta di malware-as-a-service (MaaS), riservata a un numero limitato di clienti. Le sue capacità includono il furto di credenziali, keylogging, cattura dello schermo, registrazione audio e desktop remoto. Le campagne di DarkGate sono state distribuite attraverso due diverse catene di attacco che utilizzano script AutoIt e AutoHotKey. Nell'incidente specifico analizzato da Trend Micro, il malware è stato distribuito tramite uno script AutoIt.

L'attacco è stato bloccato prima che potessero verificarsi attività di esfiltrazione dati, ma sottolinea come gli attori delle minacce stiano utilizzando una varietà di percorsi di accesso iniziale per la diffusione del malware. Si raccomanda alle organizzazioni di abilitare l'autenticazione a più fattori (MFA), consentire solo strumenti di accesso remoto approvati, bloccare applicazioni non verificate e valutare attentamente i fornitori di supporto tecnico esterni per eliminare il rischio di vishing.

Questo sviluppo arriva in un momento in cui le campagne di phishing stanno proliferando, sfruttando vari espedienti per ingannare le vittime. Tra questi si annoverano campagne di phishing su YouTube, email di phishing con codici QR, e-mail di phishing che sfruttano la fiducia associata ai domini di Cloudflare e attacchi che utilizzano allegati HTML camuffati da documenti legittimi.

Gli attori delle minacce sfruttano anche eventi globali per arricchire le loro campagne di phishing, spesso facendo leva sull'urgenza e sulle reazioni emotive per manipolare le vittime. Questi sforzi sono supportati da registrazioni di domini con parole chiave specifiche per l'evento, al fine di vendere merci contraffatte e offrire servizi fraudolenti.