I ricercatori di Trend Micro hanno scoperto una campagna in corso che sfrutta le popolari piattaforme di messaggistica Skype e Microsoft Teams per distribuire il malware DarkGate alle organizzazioni prese di mira. Una volta installato, DarkGate introduce ulteriori payload.
Gli autori di questa campagna, attiva da luglio a settembre, utilizzano uno script VBA per scaricare ed eseguire il malware. Questo script, apparentemente innocuo, scarica ed esegue un secondo script AutoIT progettato per rilasciare ed eseguire il payload finale del malware DarkGate.
DarkGate è un sofisticato malware individuato per la prima volta dai ricercatori Fortinet nel 2017. Supporta molteplici funzionalità, inclusa la possibilità di eseguire le seguenti operazioni:
- Esecuzione di comandi di rilevamento, inclusa la scansione delle directory.
- Autoaggiornamento e autogestione.
- Implementazione di software di accesso remoto.
- Abilitazione della funzionalità di mining di criptovaluta.
- Registrazione delle tastiere.
- Furto di informazioni dai browser.
- Aumento dei privilegi.
In questa campagna, gli autori della minaccia hanno abusato di una relazione di fiducia tra le due organizzazioni per ingannare il destinatario inducendolo a eseguire lo script VBA allegato. L’accesso all’account Skype della vittima ha consentito all’aggressore di prendere il controllo di un thread di messaggistica esistente e di creare la convenzione di denominazione dei file in modo che si riferisse al contesto della cronologia della chat.
Le vittime hanno ricevuto un messaggio da un account Skype compromesso, contenente uno script VBS ingannevole con un nome di file nel seguente formato: <nomefile.pdf> www.skype[.]vbs. La spaziatura nel nome del file induce l’utente a credere che il file sia un documento .PDF mentre nasconde il formato reale come www.skype[.]vbs . In questo campione, il destinatario conosceva il mittente come qualcuno che apparteneva a un fornitore esterno di fiducia.
La maggior parte degli attacchi DarkGate è stata rilevata nelle Americhe, seguita da regioni come Asia, Medio Oriente e Africa.
