Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usando equipes da Microsoft para entregar malware DarkGate por meio de mensagens com tema de RH

Relatórios recentes indicam que os agentes de ameaças têm usado o Microsoft Teams para entregar malware DarkGate Loader.

A campanha originou-se de duas contas externas comprometidas do Office 365 identificadas como “Akkaravit Tattamanas”([email protected]) e “ABNER DAVID RIVERA ROJAS”([email protected])

O malware carregador DarkGate foi introduzido em 2017, mas só estava sendo usado por seu desenvolvedor original. No entanto, em junho de 2023, o desenvolvedor do malware começou a anunciá-lo em vários fóruns de crimes cibernéticos como Malware como serviço (MaaS).

Tradicionalmente, era espalhado por e-mail até que um dos operadores teve outras ideias e começou a usar o Microsoft Teams para entregar o malware. O contexto da mensagem enviada às vítimas consistia em uma mensagem de chat de engenharia social com tema de RH.

Hackers usando equipes da Microsoft

Investigações posteriores revelaram que as mensagens de bate-papo consistiam em um link do Sharepoint hospedado externamente, que contém um arquivo ZIP com o nome “Alterações na programação de férias.zip”.

Depois que as vítimas baixam esse arquivo ZIP, ele consiste em um arquivo LNK (atalho) disfarçado de documento PDF e tem o nome “Alterações na programação de férias.pdf.lnk”.

Uma análise mais aprofundada do arquivo LNK revelou que se aberto, o arquivo possui vários comandos para uma cadeia de execução, que inicialmente criará um arquivo VBScript com o nome “asrxmp.vbs” no diretório C:\tpgh\ e o executará automaticamente.

Depois que o arquivo VBScript é executado, ele baixa o arquivo do servidor remoto hXXp:// 5[.]188[.]87[.]58:2351/wbzadczl e o executa. Esta execução leva ao uso do Windows versão do cURL (renomeada para wbza) para baixar e executar Autoit3.exe e o script incluído eszexz.au3.

Este script AutoIT descarta outro arquivo shellcode e verifica se o Sophos está instalado antes de executá-lo. Caso contrário, o script AutoIT desofusca ainda mais seu código e inicia o shellcode.

Nós recomendamos:  Uma estrutura para vender seu CFO em uma estratégia baseada em contas

Esta execução final do shellcode cria um arquivo byte a byte para carregar um novo Windows executável identificado como “Carregador DarkGate”malware.

A relatório completo foi publicado pela Truesec, que fornece informações detalhadas sobre a desofuscação, análise de configuração e outras informações sobre este malware carregador DarkGate.

“Infelizmente, os recursos de segurança atuais do Microsoft Teams, como Anexos Seguros ou Links seguros não foram capazes de detectar ou bloquear este ataque.” lê a postagem de Truesec. Esta campanha foi detectada devido à formação de sensibilização em segurança dos destinatários.

Recomenda-se que organizações e administradores de TI implementem alguns recursos de segurança, incluindo permitir solicitações de bate-papo do Microsoft Teams de domínios externos específicos e criar uma lista de permissões de domínios confiáveis.

Também é recomendado que as organizações treinem seus funcionários em conscientização sobre segurança cibernética, o que pode educar todos os funcionários e prevenir ataques futuros.

Indicadores de compromisso

Nome do arquivo Hash SHA256
Mudanças na programação de férias.zip 0c59f568da43731e3212b6461978e960644be386212cc448a715dbf3f489d758
Mudanças na programação de férias.pdf.lnk bcd449470626f4f34a15be00812f850c5e032723e35776fb4b9be6c7be6c8913
c:\tgph\asrxpm.vbs 4c21711de81bb5584d35e744394eed2f36fef0d93474dfc5685665a9e159eef1
c:\wbza\eszexz.au3 1bcde4d4613f046b63e970aa10ea2662d8aa7d326857128b59cb88484cce9a2d

Servidor de comando e controle

  • hXXp://5[.]188[.]87[.]58:2351

Endereços de e-mail comprometidos

Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.