Исследователи из Trend Micro обнаружилиновую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы.
Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS-модели (Malware-as-a-Service) другим хакерам.
Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.
По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF-файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.
В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.
Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, ” data-html=”true” data-original-title=”RAT” >RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.
DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% – в Азии, на Ближнем Востоке и Африке, а 28% – в Европе.
Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует
В то же время, из-за своей способности маскировать процессы, AutoIT может быть использован злоумышленниками для создания и распространения вредоносного ПО.