(https://i.imgur.com/TuvyEfh.png)
Se ha observado que un malware conocido como DarkGate se propaga a través de plataformas de mensajería instantánea como Skype y Microsoft Teams.
En estos ataques, las aplicaciones de mensajería se utilizan para entregar un script de carga de Visual Basic for Applications (VBA) que se hace pasar por un documento PDF que, cuando se abre, desencadena la descarga y ejecución de un script AutoIt diseñado para iniciar el malware.
"No está claro cómo se vieron comprometidas las cuentas de origen de las aplicaciones de mensajería instantánea, sin embargo, se plantea la hipótesis de que fue a través de credenciales filtradas disponibles a través de foros clandestinos o el compromiso previo de la organización matriz", dijo Trend Micro en un nuevo análisis publicado el jueves.
DarkGate, documentado por primera vez por Fortinet en noviembre de 2018, es un malware básico que incorpora una amplia gama de funciones para recopilar datos confidenciales de los navegadores web, realizar minería de criptomonedas y permitir a sus operadores controlar de forma remota los hosts infectados. También funciona como un descargador de cargas útiles adicionales como Remcos RAT.
Las campañas de ingeniería social que distribuyen el malware han experimentado un aumento en los últimos meses, aprovechando las tácticas de entrada iniciales, como los correos electrónicos de phishing y el envenenamiento de la optimización de motores de búsqueda (SEO) para atraer a los usuarios involuntarios a instalarlo.
El repunte sigue a la decisión del autor del malware de anunciar el malware en foros clandestinos y alquilarlo como malware como servicio a otros actores de amenazas después de años de usarlo de forma privada.
El uso del mensaje de chat de Microsoft Teams como vector de propagación para DarkGate fue destacado previamente por Truesec a principios del mes pasado, lo que indica que es probable que varios actores de amenazas lo estén utilizando.
(https://i.imgur.com/hv9vyLf.png)
La mayoría de los ataques se han detectado en América, seguidos de cerca por Asia, Oriente Medio y África, según Trend Micro.
El procedimiento general de infección que abusa de Skype y Teams se parece mucho a una campaña de malspam informada por Telekom Security a finales de agosto de 2023, salvo por el cambio en la ruta de acceso inicial.
"El actor de amenazas abusó de una relación de confianza entre las dos organizaciones para engañar al destinatario para que ejecutara el script VBA adjunto", dijeron los investigadores de Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh y David Walsh.
"El acceso a la cuenta de Skype de la víctima permitió al actor secuestrar un hilo de mensajería existente y crear la convención de nomenclatura de los archivos para que se relacionaran con el contexto del historial de chat".
El script VBA sirve como un conducto para obtener la aplicación AutoIt legítima (AutoIt3.exe) y un script AutoIT asociado responsable de iniciar el malware DarkGate.
Una secuencia de ataque alternativa implica que los atacantes envíen un mensaje de Microsoft Teams que contiene un archivo adjunto ZIP que contiene un archivo LNK que, a su vez, está diseñado para ejecutar un script VBA para recuperar AutoIt3.exe y el artefacto DarkGate.
"Los ciberdelincuentes pueden usar estas cargas útiles para infectar sistemas con varios tipos de malware, incluidos ladrones de información, ransomware, herramientas de administración remota maliciosas y/o abusadas y mineros de criptomonedas", dijeron los investigadores.
"Siempre que se permita la mensajería externa, o que no se controle el abuso de las relaciones de confianza a través de cuentas comprometidas, esta técnica para la entrada inicial se puede realizar con cualquier aplicación de mensajería instantánea (IM)".
Fuente: https://thehackernews.com