攻击者利用Microsoft Teams和AnyDesk部署DarkGate恶意软件

攻击者利用Microsoft Teams和AnyDesk部署DarkGate恶意软件

一起新的社交工程活动利用Microsoft Teams作为部署名为DarkGate的已知恶意软件的途径。

“攻击者通过Microsoft Teams通话使用社交工程冒充用户的客户，以获得对其系统的远程访问权限，”趋势科技的研究人员Catherine Loveria、Jovit Samaniego和Gabriel Nicoleta表示。

“攻击者未能安装Microsoft Remote Support应用程序，但成功指导受害者下载AnyDesk，这是一个常用于远程访问的工具。”

正如网络安全公司Rapid7最近记录的那样，攻击涉及向目标的电子邮件收件箱发送“数千封邮件”，之后威胁行为者通过Microsoft Teams冒充外部供应商的员工接近他们。

随后，攻击者指导受害者在其系统上安装AnyDesk，随后滥用远程访问权限来投递多个有效载荷，包括凭证窃取器和DarkGate恶意软件。

网络安全

自2018年以来在野外积极使用的DarkGate是一种远程访问木马（RAT），后来演变成一个严格控制客户数量的恶意软件即服务（MaaS）产品。其多样化的能力包括进行凭证盗窃、键盘记录、屏幕捕获、音频录制和远程桌面。

对过去一年中各种DarkGate活动分析显示，它已知通过两种不同的攻击链进行分发，这些攻击链采用AutoIt和AutoHotKey脚本。在趋势科技检查的事件中，恶意软件是通过AutoIt脚本部署的。

尽管在任何数据泄露活动发生之前阻止了攻击，但这些发现表明威胁行为者是如何使用多样化的初始访问途径来传播恶意软件的。

建议组织启用多因素认证（MFA），允许白名单中的远程访问工具，阻止未经验证的应用程序，并彻底审查第三方技术支持提供商，以消除vishing风险。

DarkGate恶意软件

这一发展是在各种网络钓鱼活动激增的背景下发生的，这些活动利用各种诱饵和技巧诱骗受害者交出他们的数据——

• 一个大规模的YouTube导向活动，其中恶意行为者冒充流行品牌，通过电子邮件接触内容创作者，提出潜在的促销、合作提议和营销合作，并敦促他们点击链接签署协议，最终导致Lumma Stealer的部署。通过解析器提取YouTube频道的电子邮件地址。
• 一个quishing活动，利用带有PDF附件的网络钓鱼电子邮件，其中包含一个二维码附件，扫描后将用户导向假冒的Microsoft 365登录页面，用于收集凭证。
• 利用Cloudflare页面和工作者的信任，设置假冒Microsoft 365登录页面和虚假CAPTCHA验证检查的钓鱼攻击，以审查或下载文档。
• 使用HTML电子邮件附件的钓鱼攻击，这些附件伪装成合法文件，如发票或人力资源政策，但包含嵌入式JavaScript代码，以执行恶意操作，如重定向用户到钓鱼网站，收集凭证，并欺骗用户在修复错误（即ClickFix）的借口下运行任意命令。
• 利用Docusign、Adobe InDesign和**Google Accelerated Mobile Pages (AMP)**等受信任平台的电子邮件钓鱼活动，让用户点击设计用于收集他们凭证的恶意链接。
• 声称来自Okta支持团队的钓鱼企图，以获取用户的凭证并破坏组织的系统。
• 针对印度用户的钓鱼信息，通过WhatsApp分发，并指示收件人安装能够窃取财务信息的恶意银行或公用事业应用程序。

威胁行为者也已知迅速利用全球事件为自己谋利，将它们纳入他们的钓鱼活动中，经常利用紧迫感和情绪反应来操纵受害者，并说服他们采取意外行动。这些努力还通过注册具有事件特定关键词的域名得到补充。

“包括体育锦标赛和产品发布在内的高调全球事件，吸引了寻求利用公众兴趣的网络犯罪分子，”Palo Alto Networks Unit 42表示。“这些犯罪分子注册模仿官方网站的欺骗性域名，以销售假冒商品和提供欺诈性服务。”

“通过监控关键指标，如域名注册、文本模式、DNS异常和变更请求趋势，安全团队可以及早识别和减轻威胁。”