Престъпници атакуват потребители на Skype и Teams с DarkGate
Компанията за киберсигурност Trend Micro заяви за засечена от тях хакерска акция, ориентирана към консуматори на платформи за продан на мигновени известия, най-много Skype и Teams. Основната интензивност на акцията е била сред юли и септември тази година, като при нея се доставя DarkGate – комплицирана, модулна опасност.
Специалистите допускат, че самите офанзиви потеглят от към този момент компрометирани сметки – посредством купени откраднати записи за регистриране или минали пробиви към атакуваните организации. Престъпниците употребяват достъпа си до Skype сметките, с цел да разгласяват в съществуващи диалози с някой от контактите на жертвата VBA файлове, чиито имена се основават по отношение на подтекста на към този момент почналата връзка. Стартирането на изпратения скрипт задейства свалянето на AutoIT файл, който доставя в системата DarkGate.
Що се отнася до случаите с Teams, тук вместо VBS скрипт се доставя LNK файл, чието осъществяване води до до свалянето на втори скрипт и инсталирането на DarkGate. При тези офанзиви, методите са сходни, като периферия се включва в връзките и доставя зловредния файл. Макар и Trend Micro да не прецизират метода, по който това се случва, то Bleeping Computer привежда сходни акции преди, които са доставяли отново DarkGate. Обикновено хакерите употребяват към този момент компрометирани Office 365 и инструмент с името TeamsPhisher. Той разрешава на атакуващата страна да преодолее общоприетите отбрани на програмата, които не разрешават външна за връзката страна да изпраща файлове към участниците в полемиката.
„ Докато опцията за продан на известия с периферия е разрешена или злоупотребата на доверени страни посредством компрометирани сметки остават непроверени, то тази техника може да се направи към и посредством всяко едно приложение за продан на известия “, пишат от Trend Micro. Специалистите напомнят, че въвеждането на всяко ново приложение в мрежата на организацията би трябвало да бъде придружавано със съответните ограничения за сигурност и оптимално ограничение на векторите за офанзива посредством него. Строг надзор над приложените файлове, въвеждането на правила и спазването им във връзка с външните домейни и блокирането им, следене и сканиране. Заедно с тях е целесъобразно чиновниците на тези предприятия и бизнеси да употребяват двуфакторна отбрана за вход, а една концепция за администриращите мрежата в тази ситуация е било налагането на някаква форма на надзор във тип на „ бели описи “ – приложенията, които имат правото да се започват на системите на дадената компания. Така да вземем за пример, в тази ситуация AutoIt е приложение, което доста рядко има потребност да се употребява на потребителски машини.
DarkGate се явява изключително уважавана опасност в киберпрестъпните среди, където се предлага по модела на „ зловред като услуга “ (malware-as-a-service, MaaS). Специалистите се натъкват на него преди шест години, когато незнаен консуматор на ъндърграунд конгрес стартира да предлага DarkGate за сумата от $100 000 на година. Скоро по-късно стартират и офанзивите благодарение на DarkGate.
DarkGate е комплицирана и модулна опасност, което значи, че към нея могат да се прибавят спомагателни благоприятни условия. Тя е сложна за засичане и унищожаване, като постоянно употребява законни DNS услуги, като тези, предоставяни от Akamai и AWS за командните си центрове. Освен кражба на информация, програмата има опция да записва натисканите клавиши на клавиатурата (кийлогинг) и други DarkGate употребява няколко разнообразни техники за превъзмогване на засичане от обичайните решения за антивирусна сигурност, като и най-малко две разнообразни техники за повишение на привилегиите при деен UAC на системата. Освен като независима стратегия, DarkGate работи и помощна платформа (loader) за доставянето на злотворен програмен продукт с разнообразни функционалности: криптиране на данни, кражбата на информация (най-често рансъмуер от фамилията на Black Basta), рандеман на крипто и други
