Μεταξύ Ιουλίου και Σεπτεμβρίου, εγκληματίες του κυβερνοχώρου χρησιμοποίησαν παραβιασμένους λογαριασμούς Skype για να διανείμουν το DarkGate malware. Αυτό το έκαναν μολύνοντας χρήστες μέσω μηνυμάτων που περιείχαν συνημμένα με VBA loader script.

Σύμφωνα με τους ερευνητές ασφαλείας της Trend Micro που εντόπισαν τις επιθέσεις, αυτό το script κατεβάζει ένα script AutoIT δεύτερου σταδίου που εγκαθιστά και εκτελεί το τελικό DarkGate malware payload.

Η πρόσβαση στον λογαριασμό Skype του θύματος επέτρεψε στον επιτιθέμενο να παραβιάσει ένα υπάρχον νήμα μηνυμάτων και να δημιουργήσει αντίστοιχα ονόματα για τα αρχεία, ώστε να σχετίζονται με το πλαίσιο του ιστορικού συνομιλίας“, είπε η Trend Micro.

Δεν είναι σαφές πώς παραβιάστηκαν οι αρχικοί λογαριασμοί των εφαρμογών άμεσων μηνυμάτων, ωστόσο εικάζεται ότι έγινε είτε μέσω credentials που είχαν διαρρεύσει και ήταν διαθέσιμα μέσω underground forums είτε μέσω προηγούμενης παραβίασης του οργανισμού“.

Δείτε επίσης: Signal: Δεν υπάρχουν αποδείξεις για την ευπάθεια zero-day

Η Trend Micro είχε, επίσης, παρατηρήσει τους χειριστές του DarkGate malware να προσπαθούν να προωθήσουν το κακόβουλο λογισμικό μέσω του Microsoft Teams σε οργανισμούς όπου η υπηρεσία είχε ρυθμιστεί να δέχεται μηνύματα από εξωτερικούς χρήστες.

Phishing καμπάνιες που χρησιμοποιούσαν το κακόβουλο VBScript για την ανάπτυξη του DarkGate malware μέσω Teams, είχαν εντοπιστεί στο παρελθόν από τις Truesec και MalwareBytes.

Οι επιτιθέμενοι στόχευαν χρήστες του Microsoft Teams μέσω παραβιασμένων λογαριασμών Office 365 εκτός των οργανισμών τους και ενός δημοσίως διαθέσιμου εργαλείου που ονομάζεται TeamsPhisher. Αυτό το εργαλείο επιτρέπει στους εισβολείς να παρακάμπτουν τους περιορισμούς για εισερχόμενα αρχεία από εξωτερικούς tenants και να στέλνουν phishing συνημμένα στους χρήστες του Teams.

Ο στόχος εξακολουθεί να είναι η διείσδυση σε ολόκληρο το περιβάλλον, και ανάλογα με την ομάδα απειλών που αγόρασε ή μίσθωσε την παραλλαγή DarkGate που χρησιμοποιήθηκε, οι απειλές μπορεί να ποικίλλουν από ransomware έως cryptomining“, δήλωσε η Trend Micro.

Σύμφωνα με τα δεδομένα των ερευνητών, μπορεί να υπάρχει κάποια σχέση του DarkGate malware με την ομάδα ransomware Black Basta.

DarkGate malware επιθέσεις

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο το DarkGate malware loader για αρχική πρόσβαση σε εταιρικά δίκτυα, μια τάση που παρατηρείται μετά την καταστολή του botnet Qakbot από τις αρχές, τον Αύγουστο.

Δείτε επίσης: Μερική κρυπτογράφηση: Η τελευταία τάση στο ransomware

Πριν από τη διακοπή του Qakbot, ένα άτομο που υποτίθεται ότι ήταν ο προγραμματιστής του DarkGate, προσπάθησε να πουλήσει συνδρομές σε ένα hacking φόρουμ, αναφέροντας μια ετήσια χρέωση έως και 100.000 $.

Σύμφωνα με τη διαφήμιση, το κακόβουλο λογισμικό προσφέρει ένα ευρύ φάσμα χαρακτηριστικών, συμπεριλαμβανομένου ενός κρυφού VNC, δυνατότητες παράκαμψης του Windows Defender, ένα εργαλείο κλοπής ιστορικού προγράμματος περιήγησης, ένα Discord token stealer και πολλά άλλα.

Μετά τη διαφήμιση του malware στο hacking forum, παρατηρήθηκε μια αύξηση στις επιθέσεις που διένειμαν το DarkGate μέσω διαφόρων μεθόδων παράδοσης, όπως phishing και malvertising.

Η σημασία της προστασίας από malware

Στην καθημερινότητα μας, η τεχνολογία διαδραματίζει πια ένα κυρίαρχο ρόλο. Από τις προσωπικές και επαγγελματικές μας επικοινωνίες μέχρι την τραπεζική μας δραστηριότητα, όλα πλέον γίνονται ψηφιακά. Αυτό συνεπάγεται αυξημένη εξάρτηση από ψηφιακά εργαλεία και επομένως αύξηση του κινδύνου μόλυνσης από κακόβουλο λογισμικό, γνωστό και ως malware. 

Το malware είναι ένα κακόβουλο λογισμικό που στοχεύει συχνά στην εξαπάτηση των χρηστών, την παραβίαση της προσωπικής τους ιδιωτικότητας, την καταστροφή των συστημάτων τους ή την κλοπή οικονομικών πληροφοριών. 

Δείτε επίσης: Ransomware επιθέσεις στοχεύουν ευάλωτους WS_FTP servers

Η ασφάλεια στον ψηφιακό κόσμο

Είναι προφανές ότι η κατάλληλη προστασία από malware, συμπεριλαμβανομένου του DarkGate, είναι απαραίτητη για την ασφάλεια των χρηστών και των συστημάτων. Χωρίς την κατάλληλη προστασία, τα ψηφιακά μας αγαθά, όπως είναι τα προσωπικά δεδομένα, οι οικονομικές μας πληροφορίες, αλλά και οι ψηφιακές μας ταυτότητες, είναι εκτεθειμένα.

Μέτρα προστασίας

Μπορείτε να προστατευτείτε από malware, ακολουθώντας κάποια βασικές πρακτικές ασφαλείας:

  • Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις λογισμικού
  • Χρησιμοποιήστε ένα λογισμικό προστασίας από ιούς και ενημερώστε το τακτικά
  • Αποφύγετε το άνοιγμα άγνωστων συνδέσμων σε ηλεκτρονικά μηνύματα ή ιστοσελίδες
  • Χρησιμοποιήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης
  • Δημιουργήστε αντίγραφα ασφαλείας των βασικών δεδομένων σας

Πηγή: www.bleepingcomputer.com