Ataki socjotechniczne coraz częściej wykorzystują popularne narzędzia komunikacyjne, takie jak Microsoft Teams, aby infekować systemy ofiar złośliwym oprogramowaniem. Jednym z najnowszych przykładów jest kampania wykorzystująca znane złośliwe oprogramowanie o nazwie DarkGate, która zyskała na popularności jako część modelu malware-as-a-service (MaaS).
Eksperci z Trend Micro – Catherine Loveria, Jovit Samaniego i Gabriel Nicoleta – ujawnili, że cyberprzestępcy wyspecjalizowani w socjotechnice podszywają się pod zaufane osoby lub organizacje podczas rozmów na Teams. W niedawno przeanalizowanym przypadku wykorzystano fałszywe połączenie wideo, gdzie atakujący udawał klienta użytkownika docelowego, aby zdobyć zaufanie i uzyskać dostęp do jego systemu. Próba zainstalowania narzędzia Microsoft Remote Support nie przyniosła rezultatów, lecz hakerzy zdołali nakłonić ofiarę do zainstalowania programu AnyDesk – popularnego oprogramowania dla zdalnego dostępu, które zostało później wykorzystane do dostarczenia złośliwego pakietu.
Ataki tego typu zazwyczaj dotyczą wieloetapowego procesu. W jednym z omówionych przypadków ofiara najpierw została zasypana tysiącami fałszywych wiadomości e-mail, a następnie osobiście kontaktowana przez MS Teams przez cyberprzestępcę podszywającego się pod pracownika zewnętrznego dostawcy. Po instalacji aplikacji AnyDesk napastnicy przejęli kontrolę nad urządzeniem, wykorzystując zdalny dostęp do zainfekowania systemu DarkGate i innymi modułami, w tym narzędziami do kradzieży danych uwierzytelniających.
DarkGate działa aktywnie od 2018 roku i regularnie ewoluuje, rozszerzając swoje funkcjonalności. Obecnie jest dostępny w modelu MaaS, który oferuje ograniczoną liczbę licencji dla starannie wyselekcjonowanych klientów. Jego funkcje obejmują m.in. kradzież danych uwierzytelniających, rejestrowanie naciśnięć klawiszy, zrzuty ekranu, nagrywanie dźwięków oraz przejęcie kontroli nad pulpitem użytkownika. W jednym z analizowanych incydentów DarkGate został wdrożony za pomocą skryptu AutoIt. Chociaż udało się powstrzymać atak zanim doszło do wycieku danych, przypadek ten podkreśla różnorodność metod stosowanych przez cyberprzestępców.
W odpowiedzi na tego typu zagrożenia zaleca się wprowadzenie wieloskładnikowego uwierzytelniania (MFA), dokładne weryfikowanie wszystkich zdalnych narzędzi dostępowych (np. Allowlist), blokowanie niezweryfikowanych aplikacji oraz przeprowadzanie starannych audytów dostawców wsparcia technicznego zewnętrznych firm.
Ataki phishingowe przyciągają uwagę cyberprzestępców dzięki zastosowaniu różnych metod oszustwa, takich jak fałszywe e-maile, linki, subdomeny czy dokumenty zawierające zainfekowane kody JavaScript, które mogą przekierować użytkownika na strony wyłudzające dane. Hakerzy potrafią również wykorzystać wydarzenia globalne, duże kampanie marketingowe lub emocjonalne reakcje użytkowników, by skłonić ich do podjęcia nieprzemyślanych działań. Chociaż metody te bywają różne, ich cel zawsze pozostaje ten sam – kraść dane, infiltrując systemy ofiar.
Aby skutecznie ograniczyć ryzyko, organizacje powinny wdrożyć rozwiązania monitorujące zmiany w rejestracjach domen, analizować wzorce filologiczne w ruchu sieciowym oraz pilnować wprowadzanych aktualizacji adresów DNS. Wczesne wykrywanie anomalii technologicznych może znacznie zmniejszyć ryzyko tego rodzaju ataków.
