Nowa kampania inżynierii społecznej wykorzystuje Microsoft Teams jako narzędzie ułatwiające wdrożenie znanego złośliwego systemu o nazwie DarkGate. Atakujący posługują się zaawansowanymi technikami manipulacyjnymi w celu przejęcia kontroli nad systemami ofiar, omijając przy tym tradycyjne metody obrony.
Poniżej opisane ataki pokazują, jak cyberprzestępcy adaptują popularne narzędzia komunikacyjne do nielegalnych celów, a także, jak ważna jest świadomość zagrożeń związanych z inżynierią społeczną, szczególnie w kontekście pracy zdalnej i używania aplikacji do komunikacji online.
Od czego rozpoczyna się atak przez Teams?
W tej kampanii, jak niedawno opisał Rapid7, napastnicy rozpoczynają atak od masowego wysyłania tysięcy wiadomości e-mail do potencjalnych ofiar.
„Napastnicy użyli inżynierii społecznej przez połączenie Microsoft Teams, aby podszyć się pod klienta ofiary i zdobyć zdalny dostęp do jej systemu” – wyjaśniają badacze z Trend Micro: Catherine Loveria, Jovit Samaniego i Gabriel Nicoleta.
„Chociaż atakujący nie zainstalowali aplikacji Microsoft Remote Support, udało im się skutecznie nakłonić ofiarę do pobrania AnyDesk, popularnego narzędzia do zdalnego dostępu, które następnie wykorzystano do przejęcia kontroli nad systemem”.
Po wzbudzeniu zainteresowania kontaktują się z ofiarami za pośrednictwem Microsoft Teams, podszywając się pod pracownika zewnętrznego dostawcy lub klienta, a następnie kierują rozmówców do pobrania i zainstalowania narzędzia AnyDesk. Dzięki niemu mogą uzyskać pełny dostęp do zainfekowanego urządzenia, co umożliwia zainstalowanie złośliwego systemu DarkGate. Pozwala ono na dalszą eksfiltrację danych i wprowadzenie kolejnych etapów ataku.
Źródło:TrendMicroKilka słów o DarkGate
DarkGate, aktywnie wykorzystywane w środowisku cyberzagrożeń od 2018 roku, to zaawansowany trojan zdalnego dostępu (RAT), który ewoluował w model złośliwego systemu jako usługi (MaaS), kierując swoją ofertę do ściśle wyselekcjonowanej grupy klientów. Oprogramowanie to dysponuje szerokim zakresem funkcji, w tym kradzieżą poświadczeń, rejestrowaniem naciśnięć klawiszy, przechwytywaniem zrzutów ekranu, nagrywaniem dźwięku, a także możliwością zdalnego kontrolowania pulpitu ofiary.
Analiza kampanii wykorzystujących DarkGate w ciągu ostatniego roku wskazuje, iż trojan jest dystrybuowany głównie za pośrednictwem dwóch łańcuchów ataków, które wykorzystują skrypty AutoIt i AutoHotKey. W przypadku incydentu badanego przez Trend Micro złośliwe oprogramowanie zostało wdrożone przy użyciu skryptu AutoIt.
Chociaż atak został zablokowany na wczesnym etapie, zanim mogło dojść do eksfiltracji danych, incydent ten stanowi przykład, jak cyberprzestępcy wykorzystują różnorodne metody początkowego dostępu do rozprzestrzeniania złośliwego oprogramowania.
Eksperci zalecają organizacjom wdrożenie kilku kluczowych środków bezpieczeństwa, w tym: włączenie uwierzytelniania wieloskładnikowego (MFA), ograniczenie dozwolonych narzędzi dostępu zdalnego do zatwierdzonych aplikacji, blokowanie niezweryfikowanych aplikacji oraz dokładną weryfikację zewnętrznych dostawców wsparcia technicznego, aby zminimalizować ryzyko ataków phishingowych i vishingowych.
Najpopularniejsze ataki w Internecie. Na co warto w tej chwili uważać i jak się chronić?
Poniżej zebraliśmy najpopularniejsze w tej chwili ataki, w ramach których przestępcy stosują różne techniki i przynęty, aby oszukać ofiary i zmusić je do ujawnienia swoich danych.
YouTube
Jednym z przykładów jest zakrojona na dużą skalę kampania phishingowa, skierowana do twórców treści na YouTube. W tym przypadku cyberprzestępcy podszywają się pod popularne marki i kontaktują się z twórcami za pośrednictwem e-maili, oferując potencjalne promocje, propozycje partnerstwa i współpracy marketingowej. Następnie nakłaniają ich do kliknięcia w link mający prowadzić do podpisania umowy, co skutkuje zainstalowaniem złośliwego systemu Lumma Stealer. Adresy e-mail twórców są pozyskiwane dzięki specjalnych parserów, które przeszukują kanały YouTube.
Quishing
Inną techniką jest kampania „quishingowa”, w której atakujący wysyłają wiadomości phishingowe z załącznikiem PDF zawierającym kod QR. Po zeskanowaniu kodu ofiary zostają przekierowane na fałszywą stronę logowania do Microsoft 365, gdzie ich dane uwierzytelniające są zbierane przez cyberprzestępców.
Fałszywe strony logowania
Kolejną formą ataku phishingowego jest wykorzystywanie zaufania do platform takich jak Cloudflare Pages i Workers w celu tworzenia fałszywych stron logowania do Microsoft 365. Strony imitują również fałszywe mechanizmy weryfikacji CAPTCHA, które mają rzekomo umożliwić użytkownikowi pobranie lub przeglądanie dokumentu. Inne ataki phishingowe stosują załączniki HTML, które wyglądają jak legalne dokumenty, np. faktury czy zasady HR, ale zawierają osadzony kod JavaScript, mogący wykonywać złośliwe operacje, jak przekierowywanie użytkowników na strony phishingowe lub zbieranie danych uwierzytelniających. Ponadto mogą one oszukiwać użytkowników, nakłaniając ich do uruchamiania poleceń pod pretekstem naprawy błędów (np. dzięki narzędzia „ClickFix”).
Docusign, Adobe InDesign i AMP
Phishingowe kampanie e-mailowe coraz częściej wykorzystują również zaufane platformy takie jak Docusign, Adobe InDesign czy Google Accelerated Mobile Pages (AMP), aby nakłonić użytkowników do kliknięcia w złośliwe linki, mające na celu zebranie danych logowania.
Okta
Zdarzają się też próby phishingowe, w ramach których hakerzy podszywają się pod zespół wsparcia Okta, mając na celu pozyskanie danych uwierzytelniających użytkowników i kompromitację systemów organizacji.
Cyberprzestępcy nagminnie wysyłają też wiadomości phishingowe za pośrednictwem WhatsAppa, nakłaniając odbiorców do zainstalowania złośliwej aplikacji bankowej lub narzędziowej na urządzeniach z systemem Android. Mają one na celu kradzież informacji finansowych.
Co więcej, cyberprzestępcy gwałtownie wykorzystują globalne wydarzenia, takie jak mistrzostwa sportowe czy premiery produktów, aby manipulować ofiarami. Wykorzystując emocjonalne reakcje i poczucie pilności, przestępcy zachęcają ofiary do wykonania niezamierzonych działań, takich jak kliknięcie w złośliwy link lub ujawnienie danych. Aby ułatwić te ataki, rejestrują oni domeny z nazwami zawierającymi słowa najważniejsze związane z bieżącymi wydarzeniami.
Aby zminimalizować ryzyko, zespoły ds. bezpieczeństwa powinny monitorować najważniejsze wskaźniki, takie jak rejestracje domen, wzorce tekstowe, anomalie DNS czy zmiany w zapytaniach, co pozwala na wczesne wykrycie zagrożeń i ich skuteczne neutralizowanie.
