Сообщения Microsoft Teams используются в качестве вектора для новой фишинговой кампании, призванной обманом заставить пользователей загрузить вложение, содержащее вредоносное ПО.
С прошлого месяца вредоносные сообщения отправлялись из некоторых взломанных учетных записей Office 365. Они включили ZIP-файл под названием «Изменения в графике отпусков».
При нажатии на него файл будет загружен с URL-адреса SharePoint. Внутри сжатого файла находится нечто, похожее на PDF-файл, но на самом деле это файл LNK, который сам содержит опасный VBScript, который приводит к установке вредоносного ПО под названием DarkGate.
ДаркГейт
Компания кибербезопасности Трусек начал расследование кампании и обнаружил, что при загрузке использовался Windows cURL для получения кода вредоносного ПО, предварительной компиляции сценария и сокрытия опасных элементов в середине файла, чтобы избежать обнаружения.
Скрипт также проверяет, установлено ли на конечной точке жертвы популярное антивирусное решение Sophos. В противном случае открывается дополнительный код и запускается шеллкод, запускающий исполняемый файл DarkGate и загружающий его в системную память.
Это не первый случай, когда новости Microsoft Teams вызывают беспокойство. Недавно была обнаружена ошибка, которая позволяла получать сообщения от внешних учетных записей в почтовый ящик организации, чего не должно было происходить. Похоже, что новая кампания DarkGate использует этот недостаток.
Microsoft не исправила ошибку напрямую; Организациям в Teams просто рекомендовалось создать белые списки, чтобы с ними могли общаться только определенные внешние организации, или вообще отключить внешние коммуникации.
DarkGate существует с 2017 года, но его использование ограничено лишь горсткой киберпреступников против конкретных целей. Это мощный и всеобъемлющий инструмент, способный красть файлы, данные браузера и содержимое буфера обмена, а также выполнять криптомайнинг, кейлоггинг и удаленное управление конечными точками.
