domingo, 10 de septiembre de 2023

Ataque de phishing a Microsoft Teams impulsa el malware DarkGate

Una nueva campaña de phishing está abusando de los mensajes de Microsoft Teams para enviar archivos adjuntos maliciosos que instalan el malware DarkGate Loader.

La campaña comenzó a finales de agosto de 2023, cuando se vio que dos cuentas externas comprometidas de Office 365 enviaban mensajes de phishing de Microsoft Teams a otras organizaciones.

Estas cuentas se utilizaron para engañar a otros usuarios de Microsoft Teams para que descargaran y abrieran un archivo ZIP llamado "Cambios en el calendario de vacaciones".

Mensaje de phishing enviado a los objetivos
Mensaje de phishing enviado a los objetivos (Truesec)

 

Al hacer clic en el archivo adjunto, se activa la descarga del ZIP desde una URL de SharePoint y contiene un archivo LNK disfrazado de documento PDF.

Los investigadores de Truesec analizaron la campaña de phishing de Microsoft Teams y descubrieron que contiene VBScript malicioso que liberan la cadena de infección que conduce a una carga útil identificada como DarkGate Loader.

Para intentar evadir la detección, el proceso de descarga utiliza Windows cURL para recuperar los archivos ejecutables y de script del malware.

El script llegó precompilado, ocultando su código malicioso en medio del archivo, comenzando con distinguibles "bytes mágicos" asociados con los scripts de AutoIT.

Sección Magicbytes en el script malicioso
Sección Magicbytes en el script malicioso (Truesec)

 

Antes de continuar, el script comprueba si el software antivirus de Sophos está instalado en la máquina de destino y, si no lo está, desofusca el código adicional e inicia el shellcode.

El código shell utiliza una técnica llamada "cadenas apiladas" para construir el ejecutable DarkGate de Windows y cargarlo en la memoria.

Detalles de la carga útil
Detalles de la carga útil (Truesec)

Phishing en equipos de Microsoft

La campaña vista por Truesec y Deutsche Telekom CERT utiliza cuentas de Microsoft Teams comprometidas para enviar archivos adjuntos maliciosos a otras organizaciones de Teams.

El phishing de Microsoft Teams se demostró previamente en un informe de junio de 2023 de Jumpsec, quien descubrió una forma de enviar mensajes maliciosos a otras organizaciones mediante phishing e ingeniería social, que es similar a lo que vemos en el ataque reportado.

A pesar del revuelo causado por este descubrimiento, Microsoft decidió no abordar el riesgo. En su lugar, recomendar que los administradores apliquen configuraciones seguras, como listas de permitidos de alcance limitado, y deshabiliten el acceso externo si no es necesaria la comunicación con inquilinos externos.

Una herramienta que un Red Teamer lanzó en julio de 2023 simplificó este ataque de phishing de Microsoft Teams, aumentando aún más la probabilidad de que se abuse de él. 

Sin embargo, no hay indicios de que este método esté involucrado en la cadena de ataques de la campaña observada recientemente.

Se abre DarkGate

DarkGate ha estado circulando desde 2017 y ha tenido un uso limitado por parte de un pequeño círculo de ciberdelincuentes que lo utilizaron contra objetivos muy específicos.

Es un potente malware que admite una amplia gama de actividades maliciosas, incluido hVNC para acceso remoto, minería de criptomonedas, shell inverso, registro de teclas, robo de portapapeles y robo de información (archivos, datos del navegador).

En junio de 2023, ZeroFox informó que alguien que afirmaba ser el autor original de DarkGate intentó vender el acceso al malware a 10 personas por el absurdo costo de 100,000 dólares al año.

Publicación en el foro sobre DarkGate
Publicación en el foro sobre DarkGate (ZeroFox)

 

En los meses siguientes, ha habido múltiples informes sobre el aumento de la distribución de DarkGate y el uso de varios canales, incluidos el phishing y la publicidad maliciosa. 

Si bien es posible que DarkGate aún no sea una amenaza generalizada, su creciente focalización y adopción de múltiples vías de infección lo convierten en una amenaza emergente que debemos monitorear de cerca.

Ir al Inicio