Cuidado con las estafas de DarkGate Loader en Microsoft Teams

Que quieres saber

  • Los piratas informáticos están explotando una nueva campaña de phishing llamada "DarkGate Loader" para comprometer las cuentas de Microsoft Teams.
  • La técnica está diseñada para engañar a usuarios desprevenidos para que descarguen y abran archivos .ZIP marcados ""Cambios en el calendario de vacaciones' en sus dispositivos.
  • El proceso de descarga disfrazado utiliza Windows cURL y el script precompilado hace que sea más difícil detectar el malware ya que el código está oculto.

Los piratas informáticos aprovechan técnicas sofisticadas para engañar y atraer a usuarios desprevenidos a sus ataques maliciosos. Hacia finales de agosto, el equipo de investigación de Truesec comenzó a investigar un nuevo proceso llamado "DarkGate Loader".

Esta campaña de phishing envía mensajes aparentemente inofensivos a los usuarios de Microsoft Teams. Los piratas informáticos utilizaron cuentas de Office 365 comprometidas para enviar mensajes que contenían archivos adjuntos dañinos a usuarios desprevenidos en un intento de engañarlos para que descargaran y abrieran archivos ZIP marcados ""Cambios en el calendario de vacaciones.'

Tenga en cuenta que al hacer clic en este archivo ZIP se inicia automáticamente un proceso de descarga desde una URL de SharePoint que contiene un archivo LNK disfrazado de documento PDF (a través de TechRadar).

Una captura de pantalla de un sitio de SharePoint que aloja el archivo Holiday Calendar Changes.zip. (Crédito de la imagen: Trusec)

Trusec destacó las cuentas hackeadas utilizadas por los hackers: “Akkaravit Tattamanas” ([email protected]) y “ABNER DAVID RIVERA ROJAS” ([email protected]), enviando VBScript malicioso oculto en el archivo LNK . que a su vez implementa el malware conocido como DarkGate Loader.

La sofisticada campaña implementada por los piratas informáticos hace que sea extremadamente difícil para los usuarios detectar actos maliciosos porque el proceso de descarga de archivos ZIP utiliza una URL de SharePoint. Además, el script precompilado dificulta la detección de malware ya que el código está oculto en el medio del archivo.

Según la firma de investigación, el script también puede identificar si el usuario objetivo tiene Sophos, un popular antivirus, instalado en su terminal. Si no está instalado, el código adicional se desenmascara y se inicia el shellcode, que explota una técnica llamada "cadenas apiladas". para construir el ejecutable DarkGate y cargarlo en la memoria del sistema.

Este ataque se detectó gracias a la formación de concienciación sobre seguridad de los destinatarios. Lamentablemente, las funciones de seguridad actuales de Microsoft Teams, como archivos adjuntos seguros o enlaces seguros, no pudieron detectar ni bloquear este ataque. Actualmente, la única forma de evitar este vector de ataque dentro de Microsoft Teams es permitir solo solicitudes de chat de Microsoft Teams desde dominios externos específicos, aunque esto puede tener implicaciones comerciales ya que todos los dominios externos de confianza deben estar incluidos en la lista blanca de un administrador de TI.

Equipo de investigación de Trusec

Esta no es la única estafa relacionada con Teams, ya que un grupo de hackers ruso llamado Midnight Blizzard explotó recientemente un nuevo exploit que afectó a menos de 40 organizaciones en agosto. Los piratas informáticos utilizaron inquilinos de Microsoft 365 previamente comprometidos propiedad de propietarios de pequeñas empresas para crear nuevos dominios que pretendían ser entidades de asistencia técnica. Sin embargo, desde entonces Microsoft ha mitigado el problema y actualmente está investigando el impacto del ataque.

Por ahora, debe permanecer atento a mensajes inesperados y alertar a su administrador si identifica este archivo infectado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir