Lo que necesitas saber
- Los piratas informáticos están aprovechando una nueva campaña de phishing denominada ‘DarkGate Loader’ para comprometer las cuentas de Microsoft Teams.
- La técnica está diseñada para engañar a usuarios desprevenidos para que descarguen y abran archivos .ZIP marcados «Cambios en el calendario de vacaciones‘ en sus dispositivos.
- El proceso de descarga disfrazado utiliza Windows cURL y el script precompilado hace que sea más difícil detectar el malware ya que el código está oculto.
Los piratas informáticos están aprovechando técnicas sofisticadas para engañar y atraer a usuarios desprevenidos a sus ataques maliciosos. Hacia finales de agosto, El equipo de investigación de Truesec comenzó a investigar un nuevo proceso denominado ‘DarkGate Loader’.
Esta campaña de phishing envía mensajes aparentemente inofensivos a Equipos de Microsoft usuarios. Los piratas informáticos utilizaron cuentas de Office 365 comprometidas para enviar mensajes con archivos adjuntos dañinos a usuarios desprevenidos y engañarlos para que descargaran y abrieran archivos ZIP marcados «Cambios en el calendario de vacaciones.‘
Tenga en cuenta que al hacer clic en este archivo ZIP se inicia automáticamente un proceso de descarga desde una URL de SharePoint que contiene un Archivo LNK disfrazado de documento PDF (a través de TecnologíaRadar.)
Trusec destacó las cuentas secuestradas utilizadas por los piratas informáticos: «Akkaravit Tattamanas» ([email protected]) y «ABNER DAVID RIVERA ROJAS» ([email protected]), enviando VBScript malicioso escondido dentro del archivo LNK. que a su vez implementa el malware conocido como DarkGate Loader.
La sofisticada campaña aprovechada por los piratas informáticos hace que sea extremadamente difícil para los usuarios detectar un juego sucio, ya que el proceso de descarga de los archivos ZIP utiliza una URL de SharePoint. Además, el script precompilado dificulta la detección del malware ya que el código está oculto en el medio del archivo.
Según la firma de investigación, el script también puede identificar si el usuario objetivo tiene Sophos, un antivirus popular, instalado en su punto final. Si no está instalado, se desenmascara el código adicional y se inicia el código shell, que aprovecha una técnica denominada «cadenas apiladas». para construir el ejecutable DarkGate y cargarlo en la memoria del sistema.
Este ataque se detectó gracias a la formación en materia de seguridad de los destinatarios. Desafortunadamente, las funciones de seguridad actuales de Microsoft Teams, como Archivos adjuntos seguros o Enlaces seguros, no pudieron detectar ni bloquear este ataque. En este momento, la única forma de prevenir este vector de ataque dentro de Microsoft Teams es permitir solo solicitudes de chat de Microsoft Teams desde dominios externos específicos, aunque podría tener implicaciones comerciales, ya que todos los dominios externos confiables deben estar incluidos en la lista blanca de un administrador de TI.
Equipo de investigación de Trusec
No es la única estafa relacionada con Teams, ya que un grupo de hackers rusos llamado Midnight Blizzard aprovechó recientemente un nuevo exploit que afectados menos de 40 organizaciones en agosto. Los piratas informáticos utilizaron inquilinos de Microsoft 365 previamente comprometidos que pertenecían a propietarios de pequeñas empresas para crear nuevos dominios que pretendían ser entidades de soporte técnico. Sin embargo, desde entonces Microsoft ha mitigado el problema y actualmente está investigando el impacto del ataque.
Por ahora, debe permanecer atento a mensajes inesperados y alertar a su administrador si identifica este archivo infectado.