Клиентам Skype и Teams приготовиться: вирус в каждом вашем сообщении

Исследователи из Trend Micro обнаружили новую вредоносную кампанию, в которой киберпреступники используют взломанные аккаунты Skype и Microsoft Teams для распространения вредоносного ПО DarkGate, способного похищать информацию, регистрировать нажатия клавиш, майнить криптовалюту и шифровать файлы.

Специалисты Trend Micro также наблюдали за тем, как разработчик DarkGate начал рекламировать вредоносное ПО на подпольных форумах и сдавать его в аренду на основе MaaS-модели (Malware-as-a-Service) другим хакерам.

Оператор DarkGate использует Skype и Teams для распространения вредоносного ПО. В одной из атак злоумышленник взял под контроль аккаунт Skype сотрудника организации, с которой жертва имела доверенные отношения, и использовал этот аккаунт для отправки сообщения.

По сути, киберпреступник использовал скомпрометированную учетную запись Skype, чтобы перехватить существующую ветку сообщений и отправить сообщение, которое содержало вредоносный VBS-скрипт, замаскированный в PDF-файл. Когда получатель открыл файл, DarkGate загружается и устанавливается на целевой компьютер.

В другой атаке, которую проанализировала Trend Micro, злоумышленник попытался добиться того же результата, используя учетную запись Teams для отправки сообщения с вредоносным LNK-файлом целевому получателю. В отличие от атаки с Skype, где хакер выдавал себя за доверенное лицо, в варианте с Teams жертва получила вредоносное сообщение от неизвестного отправителя.

Анализ Trend Micro показал, что после установки в систему DarkGate доставляет дополнительные полезные нагрузки. Иногда это варианты самого DarkGate или трояна удалённого доступа (Remote Access Trojan, RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации. Целью атакующего, очевидно, было использование систем как первоначальной точки опоры в сетях целевой организации.

DarkGate нацелен на пользователей в разных регионах мира с 2017 года. В обнаруженной кампании, которая началась в августе, 41% целей находятся в Северной и Южной Америке, 31% - в Азии, на Ближнем Востоке и Африке, а 28% - в Европе.

Вредоносное ПО интегрирует несколько функций, например, может выполнять команды для сбора информации о системе, картографирования сетей и обхода каталогов. Для доставки и выполнения полезной нагрузки DarkGate использует AutoIT, легитимный инструмент автоматизации и написания сценариев для Windows, который авторы других семейств вредоносных программ использовали для обфускации и обхода защиты.

Trend Micro заявила, что смогла сдержать наблюдаемые атаки DarkGate до того, как был нанесен какой-либо реальный ущерб. Но, учитывая очевидный поворот разработчика к MaaS-модели и сдачи вредоносного ПО в аренду, специалисты корпоративной безопасности могут ожидать большего количества атак со стороны различных злоумышленников.

Trend Micro рекомендует организациям вводить правила использования Skype и Teams, которые должны включать в себя блокировку внешних доменов, контроль использования вложений и внедрение мер сканирования, если это возможно. Многофакторная аутентификация (Multi-factor Authentication, MFA) также имеет ключевое значение для предотвращения неправомерного использования учетных данных злоумышленниками.