È stato osservato che un malware noto come DarkGate si diffonde tramite piattaforme di messaggistica istantanea come Skype e Microsoft Teams.
In questi attacchi, le app di messaggistica vengono utilizzate per fornire uno script di caricamento Visual Basic for Applications (VBA) mascherato da documento PDF che, una volta aperto, attiva il download e l’esecuzione di uno script AutoIt progettato per avviare il malware.
Cosa si sa di DarkGate
“Non è chiaro come gli account di origine delle applicazioni di messaggistica istantanea siano stati compromessi, tuttavia si ipotizza che ciò sia avvenuto attraverso credenziali trapelate disponibili attraverso forum clandestini o tramite la precedente compromissione dell’organizzazione madre“, ha affermato Trend Micro in una nuova analisi pubblicata giovedì.
DarkGate, documentato per la prima volta da Fortinet nel novembre 2018, è un malware comune che incorpora una vasta gamma di funzionalità per raccogliere dati sensibili dai browser web, condurre il mining di criptovalute e consentire ai suoi operatori di controllare a distanza gli host infetti.
Questo malware funziona anche come downloader di carichi aggiuntivi, come il RAT Remcos.
Campagne di ingegneria sociale che distribuiscono il malware hanno registrato un aumento negli ultimi mesi, sfruttando tattiche di accesso iniziale come email di phishing e “dirottamento” dei motori di ricerca (SEO) per convincere gli utenti ignari a installarlo.
Tale incremento segue la decisione dell’autore (giustamente ignoto) del malware di pubblicizzarlo su forum clandestini e di affittarlo come servizio di malware a altri malintenzionati dopo anni di utilizzo privato.
L’uso dei messaggi di chat di Microsoft Teams come vettore di propagazione per DarkGate è stato precedentemente evidenziato da Truesec all’inizio del mese scorso, indicando che è probabile che sia utilizzato da diversi malintenzionati.
La maggior parte degli attacchi è stata rilevata nelle Americhe, seguita da vicino da Asia, Medio Oriente e Africa, secondo Trend Micro.
La procedura generale di infezione che abusa di Skype e Teams somiglia molto a una campagna di malspam segnalata da Telekom Security alla fine di agosto 2023, con l’eccezione del cambio nella via di accesso iniziale.
“La minaccia ha abusato di una relazione di fiducia tra le due organizzazioni per ingannare il destinatario nell’esecuzione dello script VBA allegato“, hanno dichiarato i ricercatori di Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh e David Walsh.
I ricercatori hanno successivamente dichiarato: “L’accesso all’account Skype della vittima ha permesso all’autore [dell’hacking] di dirottare una discussione di messaggistica esistente e cambiare l’estensione dei e la denominazione dei file in relazione al contesto della cronologia della chat“.
Lo script VBA funge da condotto per recuperare l’applicazione AutoIt legittima (AutoIt3.exe) e uno script AutoIT associato responsabile del lancio del malware DarkGate.
Un’altra sequenza di attacco prevede che gli aggressori inviino un messaggio di Microsoft Teams contenente un allegato di archivio ZIP con un file LNK che, a sua volta, è progettato per eseguire uno script VBA per recuperare AutoIt3.exe e l’artifact DarkGate.
“I criminali informatici possono utilizzare questi payload per infettare i sistemi con vari tipi di malware, tra cui rubatori di informazioni, ransomware, strumenti di gestione remota maliziosi o abusati e miner di criptovalute“, hanno dichiarato i ricercatori.
I ricercatori, pertanto cocludono dicendo: “Fino a quando è consentita la messaggistica esterna o non viene controllato l’abuso delle relazioni di fiducia tramite account compromessi, questa tecnica per l’accesso iniziale può essere utilizzata con qualsiasi app di messaggistica istantanea (IM)“.