Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Opisi virusa, 16.10.2023, 08:30 AM

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams, upozorila je kompanija Trend Micro. Primetan je porast izveštaja koji govore o DarkGate infekcijama do kojih dolazi na različite načine, između ostalih, putem fišing mejlova i zlonamernih reklama.

Mesindžeri se koriste za isporuku VBA skripte koja je maskirana kao PDF dokument. Kada se PDF otvori, preuzima se AutoIt skripta koja treba da pokrene malver DarkGate. Alternativno, napadači šalju Microsoft Teams poruku koja sadrži ZIP fajl u kome se nalazi LNK fajl koji pokreče VBA skriptu.

Nejasno je kako su Skype i Microsoft Teams nalozi kompromitovani, ali se pretpostavlja da napadači koriste procurele kredencijale sa hakerskih foruma ili da je reč o kompanijama gde je Microsoft Teams konfigurisan da prihvata poruke od eksternih korisnika. Kako su objasnili istraživači, za napade na korisnike Microsoft Teamsa koriste se hakovani Office 365 nalozi izvan ciljanih organizacija i javno dostupan alat TeamsPhisher. Ovaj alat omogućava napadačima da zaobiđu ograničenja za dolazne fajlove od eksternih korisnika i pošalju fišing mamce korisnicima Teamsa.

Što se tiče Skypea, napadači koriste postojeće prepiske da prilagode naziv PDF fajla kontekstu razgovora.

„Cilj je i dalje da se prodre u celo okruženje, a u zavisnosti od grupe koja je kupila ili iznajmila DarkGate, pretnje mogu da variraju od ransomwarea do kripto rudarenja“, rekao je Trend Micro. „Iz naše telemetrije, videli smo da DarkGate dovodi do otkrivanja alata koji su obično povezani sa ransomware grupom Black Basta.“

Malver DarkGate se koristi za početni pristup korporativnim mrežama. Upadljivi porast napada povezanih sa DarkGateom primećen je posle međunarodne policijske akcije protiv Qakbot botneta u avgustu. Ovaj trend se poklopio sa odlukom autora malvera da ga prvi put, nakon što je godinama malver korišćen privatno, na forumima sajber podzemlja ponudi kao „malware-as-a-service“, uz godišnju naknadu od 100.000 dolara.

Činjenica da se za širenje DarkGatea koriste i Skype i Microsoft Teams ukazuje na to da malver koristi nekoliko grupa koje nisu međusobno povezane.

DarkGate ima širok spektar funkcija - za prikupljanje osetljivih podataka iz veb pretraživača, rudarenje kriptovaluta i omogućavanje daljinske kontrole zaraženih uređaja. Takođe funkcioniše kao preuzimač drugih malvera, uključujući malvere koji kradu informacije, ransomware i kripto majnere. Treba napomenuti da DarkGate može da zaobiđe zaštite Windows Defendera.

„Sve dok je spoljna razmena poruka dozvoljena ili zloupotreba pouzdanih odnosa preko kompromitovanih naloga nije potvrđena, ova se tehnika za početni ulaz može primeniti na i sa bilo kojom aplikacijom za poruke (IM).“

Foto: Trend Micro


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje