Een nieuwe social engineering-campagne heeft Microsoft Teams ingezet als een manier om de implementatie van een bekende malware genaamd DarkGate te vergemakkelijken.
“Een aanvaller gebruikte social engineering via een Microsoft Teams-oproep om zich voor te doen als de klant van een gebruiker en op afstand toegang te krijgen tot zijn systeem”, aldus Trend Micro-onderzoekers Catherine Loveria, Jovit Samaniego en Gabriel Nicoleta.
“De aanvaller slaagde er niet in een Microsoft Remote Support-applicatie te installeren, maar gaf het slachtoffer wel de opdracht om AnyDesk te downloaden, een tool die vaak wordt gebruikt voor externe toegang.”
Zoals onlangs gedocumenteerd door cyberbeveiligingsbedrijf Rapid7, bestond de aanval uit het bombarderen van de e-mailinbox van een doelwit met “duizenden e-mails”, waarna de bedreigingsactoren hen via Microsoft Teams benaderden door zich voor te doen als een werknemer van een externe leverancier.
Vervolgens gaf de aanvaller het slachtoffer opdracht om AnyDesk op zijn systeem te installeren, waarbij de externe toegang vervolgens werd misbruikt om meerdere payloads af te leveren, waaronder een inloggegevensdief en de DarkGate-malware.
DarkGate wordt sinds 2018 actief in het wild gebruikt en is een trojan voor externe toegang (RAT) die sindsdien is geëvolueerd naar een Malware-as-a-Service (MaaS)-aanbod met een strak gecontroleerd aantal klanten. Tot de gevarieerde mogelijkheden behoren het uitvoeren van diefstal van inloggegevens, keylogging, schermopname, audio-opname en extern bureaublad.
Uit een analyse van verschillende DarkGate-campagnes van het afgelopen jaar blijkt dat het bekend is dat het wordt verspreid via twee verschillende aanvalsketens die gebruik maken van AutoIt- en AutoHotKey-scripts. Bij het door Trend Micro onderzochte incident werd de malware ingezet via een AutoIt-script.
Hoewel de aanval werd geblokkeerd voordat er data-exfiltratie-activiteiten konden plaatsvinden, zijn de bevindingen een teken van hoe bedreigingsactoren een diverse reeks initiële toegangsroutes gebruiken voor de verspreiding van malware.
Organisaties wordt aangeraden om multi-factor authenticatie (MFA) in te schakelen, goedgekeurde tools voor externe toegang op de toelatingslijst te zetten, niet-geverifieerde applicaties te blokkeren en externe technische ondersteuningsleveranciers grondig te onderzoeken om het vishing-risico te elimineren.
De ontwikkeling komt te midden van een golf van verschillende phishing-campagnes die verschillende lokmiddelen en trucs hebben gebruikt om slachtoffers te misleiden om afstand te doen van hun gegevens –
- Een grootschalige, op YouTube gerichte campagne waarin slechte actoren populaire merken nabootsen en makers van inhoud via e-mail benaderen voor mogelijke promoties, partnerschapsvoorstellen en marketingsamenwerkingen, en hen aansporen op een link te klikken om een overeenkomst te ondertekenen, wat uiteindelijk tot de implementatie leidt van Lumma Stealer. De e-mailadressen van YouTube-kanalen worden geëxtraheerd door middel van een parser.
- Een quishing-campagne die gebruik maakt van phishing-e-mails met een pdf-bijlage met een QR-codebijlage, die, wanneer deze wordt gescand, gebruikers naar een valse Microsoft 365-inlogpagina leidt voor het verzamelen van inloggegevens.
- Phishing-aanvallen maken gebruik van het vertrouwen dat geassocieerd wordt met Cloudflare Pages en Workers om valse sites op te zetten die de inlogpagina’s van Microsoft 365 nabootsen en valse CAPTCHA-verificatiecontroles om zogenaamd een document te bekijken of te downloaden.
- Phishing-aanvallen waarbij gebruik wordt gemaakt van HTML-e-mailbijlagen die zijn vermomd als legitieme documenten zoals facturen of HR-beleid, maar ingebedde JavaScript-code bevatten om kwaadaardige acties uit te voeren, zoals het omleiden van gebruikers naar phishing-sites, het verzamelen van inloggegevens en het misleiden van gebruikers om willekeurige opdrachten uit te voeren onder het voorwendsel van reparatie een fout (dat wil zeggen, ClickFix).
- Phishing-campagnes per e-mail die gebruik maken van vertrouwde platforms zoals Docusign, Adobe InDesign en Google Accelerated Mobile Pages (AMP) om gebruikers op kwaadaardige links te laten klikken die zijn ontworpen om hun inloggegevens te achterhalen.
- Phishing-pogingen die beweren afkomstig te zijn van het ondersteuningsteam van Okta, in een poging toegang te krijgen tot de inloggegevens van gebruikers en inbreuk te maken op de systemen van de organisatie.
- Phishingberichten gericht op Indiase gebruikers die via WhatsApp worden verspreid, instrueren de ontvangers om een kwaadaardige bank- of hulpprogramma-app voor Android-apparaten te installeren die financiële informatie kunnen stelen.
Het is ook bekend dat bedreigingsactoren snel in hun voordeel kunnen inspelen op mondiale gebeurtenissen door deze op te nemen in hun phishing-campagnes, waarbij ze vaak azen op urgentie en emotionele reacties om slachtoffers te manipuleren en hen over te halen onbedoelde acties te ondernemen. Deze inspanningen worden ook aangevuld met domeinregistraties met evenementspecifieke trefwoorden.
“Hoogwaardige mondiale evenementen, waaronder sportkampioenschappen en productlanceringen, trekken cybercriminelen aan die de publieke belangstelling willen exploiteren”, aldus Palo Alto Networks Unit 42. “Deze criminelen registreren misleidende domeinen die officiële websites nabootsen om namaakartikelen te verkopen en frauduleuze diensten aan te bieden.”
“Door belangrijke statistieken zoals domeinregistraties, tekstpatronen, DNS-afwijkingen en trends in wijzigingsverzoeken te monitoren, kunnen beveiligingsteams bedreigingen vroegtijdig identificeren en beperken.”