Nova kampanja društvenog inženjeringa iskoristila je Microsoft Teams kao način da se olakša implementacija poznatog malicioznog softvera pod nazivom DarkGate .
“Napadač je koristio društveni inženjering putem Microsoft Teams poziva da se lažno predstavlja kao klijent korisnika i dobije daljinski pristup njihovom sistemu”, rekli su istraživači Trend Micro Catherine Loveria, Jovit Samaniego i Gabriel Nicoleta .
“Napadač nije uspio instalirati aplikaciju Microsoft Remote Support, ali je uspješno uputio žrtvu da preuzme AnyDesk, alat koji se obično koristi za daljinski pristup.”
Kao što je nedavno dokumentovala firma za cyber sigurnost Rapid7, napad je uključivao bombardovanje prijemnog sandbox mete sa “hiljadama mejlova”, nakon čega su im se hakeri obratili preko Microsoft Teams-a maskirajući se kao zaposlenik eksternog dobavljača.
Napadač je zatim dao instrukcije žrtvi da instalira AnyDesk na njihov sistem, a daljinski pristup je kasnije zloupotrebljen za isporuku više korisnih podataka, uključujući krađu krendicijala i DarkGate malver.
Aktivno korišten u divljini od 2018., DarkGate je trojanac za daljinski pristup (RAT) koji je od tada evoluirao u ponudu malicioznog softvera kao usluge (MaaS) sa strogo kontrolisanim brojem kupaca. Među njegovim raznovrsnim mogućnostima su provođenje krađe akreditiva, keylogging, snimanje ekrana, audio snimanje i udaljena radna površina.
Analiza različitih DarkGate kampanja u protekloj godini pokazuje da je poznato da se distribuira preko dva različita lanca napada koji koriste AutoIt i AutoHotKey skripte. U incidentu koji je pregledao Trend Micro, zlonamjerni softver je raspoređen putem AutoIt skripte.
Iako je napad blokiran prije nego što su se mogle dogoditi bilo kakve aktivnosti eksfiltracije podataka, nalazi su znak kako hakeri koriste raznolik skup početnih pristupnih ruta za širenje malicioznog softvera.
Organizacijama se preporučuje da omoguće višefaktorsku autentifikaciju (MFA), alate za daljinski pristup odobrene na listi dozvoljenih, blokiraju neprovjerene aplikacije i temeljno provjere pružatelje tehničke podrške trećih strana kako bi eliminisali rizik od vishinga.
Razvoj dolazi usred porasta različitih phishing kampanja koje su koristile razne mamce i trikove da bi žrtve prevarile da se rastanu sa svojim podacima –
- Opsežna kampanja orijentisana na YouTube u kojoj loši hakeri glume popularne brendove i obraćaju se kreatorima sadržaja putem e-pošte za potencijalne promocije, prijedloge partnerstva i marketinške suradnje, te ih pozivaju da kliknu na link kako bi potpisali ugovor, što na kraju dovodi do implementacije od Lumma Stealer. E-mail adrese sa YouTube kanala se izdvajaju pomoću parsera.
- Kampanja ukidanja koja koristi phishing e-poruke sa PDF prilogom koji sadrži prilog QR koda , koji, kada se skenira, usmjerava korisnike na lažnu stranicu za prijavu na Microsoft 365 radi prikupljanja krendicijala.
- Phishing napadi iskorištavaju povjerenje povezano sa Cloudflare Pages i Workers za postavljanje lažnih stranica koje oponašaju stranice za prijavu na Microsoft 365 i lažne CAPTCHA provjere za navodno pregledavanje ili preuzimanje dokumenta.
- Napadi krađe identiteta koji koriste HTML priloge e-pošte koji su prerušeni u legitimne dokumente kao što su fakture ili HR politike, ali sadrže ugrađeni JavaScript kod za izvršavanje maliciozni radnji kao što su preusmjeravanje korisnika na web lokacije za krađu identiteta, prikupljanje krendicijala i obmanjivanje korisnika da izvršavaju proizvoljne komande pod izgovorom popravljanja greška (tj. ClickFix).
- Kampanje za krađu identiteta putem e-pošte koje koriste pouzdane platforme kao što su Docusign, Adobe InDesign i Google Accelerated Mobile Pages (AMP) kako bi natjerali korisnike da kliknu na maliciozne veze koje su dizajnirane da prikupe njihove krendicjale.
- Pokušaji krađe identiteta za koje se tvrdi da su iz Oktinog tima za podršku u pokušaju da dobiju pristup korisničkim krendicijalima i provale sisteme organizacije.
- Phishing poruke koje ciljaju indijske korisnike koje se distribuiraju putem WhatsAppa i upućuju primaoce da instaliraju malicioznu banku ili uslužnu aplikaciju za Android uređaje koji mogu ukrasti finansijske informacije.
Poznato je i da hakeri brzo kapitaliziraju globalne događaje u svoju korist tako što ih uključuju u svoje phishing kampanje, često se zalažući za hitnost i emocionalne reakcije kako bi manipulisali žrtvama i uvjerili ih na nenamjerne radnje. Ovi napori su takođe dopunjeni registracijama domena s ključnim riječima specifičnim za događaj.
“Globalni događaji visokog profila, uključujući sportska prvenstva i lansiranje proizvoda, privlače cyber kriminalce koji žele da iskoriste javni interes”, rekao je Palo Alto Networks Unit 42 . “Ovi kriminalci registruju varljive domene oponašajući službene web stranice kako bi prodali krivotvorenu robu i ponudili lažne usluge.”
“Praćenjem ključnih metrika kao što su registracije domena, tekstualni obrasci, DNS anomalije i trendovi zahtjeva za promjenom, sigurnosni timovi mogu rano identificirati i ublažiti prijetnje.”
Izvor:The Hacker News
