Site icon Kiber.ba

Napadači iskorištavaju Microsoft Teams i AnyDesk za implementaciju malicioznog softvera DarkGate

Napadači iskorištavaju Microsoft Teams i AnyDesk za implementaciju malicioznog softvera DarkGate -Kiber.ba

Napadači iskorištavaju Microsoft Teams i AnyDesk za implementaciju malicioznog softvera DarkGate -Kiber.ba

Nova kampanja društvenog inženjeringa iskoristila je Microsoft Teams kao način da se olakša implementacija poznatog malicioznog softvera pod nazivom DarkGate .

“Napadač je koristio društveni inženjering putem Microsoft Teams poziva da se lažno predstavlja kao klijent korisnika i dobije daljinski pristup njihovom sistemu”, rekli su istraživači Trend Micro Catherine Loveria, Jovit Samaniego i Gabriel Nicoleta .

“Napadač nije uspio instalirati aplikaciju Microsoft Remote Support, ali je uspješno uputio žrtvu da preuzme AnyDesk, alat koji se obično koristi za daljinski pristup.”

Kao što je nedavno dokumentovala firma za cyber sigurnost Rapid7, napad je uključivao bombardovanje prijemnog sandbox mete sa “hiljadama mejlova”, nakon čega su im se hakeri obratili preko Microsoft Teams-a maskirajući se kao zaposlenik eksternog dobavljača.

Napadač je zatim dao instrukcije žrtvi da instalira AnyDesk na njihov sistem, a daljinski pristup je kasnije zloupotrebljen za isporuku više korisnih podataka, uključujući krađu krendicijala i DarkGate malver.

Aktivno korišten u divljini od 2018., DarkGate je trojanac za daljinski pristup (RAT) koji je od tada evoluirao u ponudu malicioznog softvera kao usluge (MaaS) sa strogo kontrolisanim brojem kupaca. Među njegovim raznovrsnim mogućnostima su provođenje krađe akreditiva, keylogging, snimanje ekrana, audio snimanje i udaljena radna površina.

Analiza različitih DarkGate kampanja u protekloj godini pokazuje da je poznato da se distribuira preko dva različita lanca napada koji koriste AutoIt i AutoHotKey skripte. U incidentu koji je pregledao Trend Micro, zlonamjerni softver je raspoređen putem AutoIt skripte.

Iako je napad blokiran prije nego što su se mogle dogoditi bilo kakve aktivnosti eksfiltracije podataka, nalazi su znak kako hakeri koriste raznolik skup početnih pristupnih ruta za širenje malicioznog softvera.

Organizacijama se preporučuje da omoguće višefaktorsku autentifikaciju (MFA), alate za daljinski pristup odobrene na listi dozvoljenih, blokiraju neprovjerene aplikacije i temeljno provjere pružatelje tehničke podrške trećih strana kako bi eliminisali rizik od vishinga.

Razvoj dolazi usred porasta različitih phishing kampanja koje su koristile razne mamce i trikove da bi žrtve prevarile da se rastanu sa svojim podacima –

Poznato je i da hakeri brzo kapitaliziraju globalne događaje u svoju korist tako što ih uključuju u svoje phishing kampanje, često se zalažući za hitnost i emocionalne reakcije kako bi manipulisali žrtvama i uvjerili ih na nenamjerne radnje. Ovi napori su takođe dopunjeni registracijama domena s ključnim riječima specifičnim za događaj.

“Globalni događaji visokog profila, uključujući sportska prvenstva i lansiranje proizvoda, privlače cyber kriminalce koji žele da iskoriste javni interes”, rekao je Palo Alto Networks Unit 42 . “Ovi kriminalci registruju varljive domene oponašajući službene web stranice kako bi prodali krivotvorenu robu i ponudili lažne usluge.”

“Praćenjem ključnih metrika kao što su registracije domena, tekstualni obrasci, DNS anomalije i trendovi zahtjeva za promjenom, sigurnosni timovi mogu rano identificirati i ublažiti prijetnje.”

Izvor:The Hacker News

Exit mobile version