Una nueva campaña de phishing está abusando de los mensajes de Microsoft
Teams para enviar archivos adjuntos maliciosos que instalan el malware
DarkGate Loader.
La campaña comenzó a finales de agosto de 2023, cuando se vio que dos cuentas
externas comprometidas de Office 365 enviaban mensajes de phishing de
Microsoft Teams a otras organizaciones.
Estas cuentas se utilizaron para engañar a otros usuarios de Microsoft Teams
para que descargaran y abrieran un archivo ZIP llamado
«Changes to the vacation schedule.zip» y
muchos otros. Al hacer clic en el archivo adjunto, se activa la descarga del ZIP desde
una URL de SharePoint y contiene un archivo LNK disfrazado de documento PDF.
Los investigadores de
Truesec analizaron la campaña de phishing de Microsoft Teams
y descubrieron que contiene VBScript malicioso que desencadena la cadena de
infección que conduce a una carga útil identificada como DarkGate Loader. Para
intentar evadir la detección, el proceso de descarga utiliza Windows cURL para
recuperar los archivos ejecutables y de script del malware.
El código shell utiliza una técnica llamada «stacked strings» para
construir el ejecutable DarkGate de Windows y cargarlo en la memoria.
Phishing en equipos de Microsoft
La campaña vista por Truesec y
Deutsche Telekom CERT
utiliza cuentas de Microsoft Teams comprometidas para enviar archivos adjuntos
maliciosos a otras organizaciones de Teams.
El phishing de Microsoft Teams se demostró previamente en un
informe de junio de 2023 de Jumpsec, quien descubrió una forma de enviar mensajes maliciosos a otras
organizaciones mediante phishing e ingeniería social, que es similar a lo que
vemos en el ataque reportado.
En este momento la campaña se encuentra activa, tal y como
señala Germán Fernández (aka @1ZRR4H) y como se puede ver en la siguiente imagen: desde un enlace (válido) de
SharePoint se descarga un ZIP con archivos LNK disfrazados de PDF, los cuales
ejecutan comandos del sistema operativo y finalizan descargando malware:
A pesar del revuelo causado por este descubrimiento, Microsoft decidió no
abordar el riesgo. En su lugar, recomendar que los administradores apliquen
configuraciones seguras, como listas de permitidos de alcance limitado, y
deshabiliten el acceso externo si no es necesaria la comunicación con
externos.
Una herramienta que un
Red Teamer lanzó en julio de 2023
simplificó este ataque de phishing de Microsoft Teams, aumentando aún más la probabilidad de que se abuse de él en la naturaleza.
Sin embargo, no hay indicios de que este método esté involucrado en la cadena
de ataques de la campaña observada recientemente.
Analizando los archivos maliciosos
El archivo ZIP contiene un archivo LNK malicioso (acceso directo) que se hace
pasar por un documento PDF:
«Cambios en el calendario de vacaciones.pdf.lnk». Usando
«LECmd.exe»
de Eric Zimmerman para analizar el archivo LNK malicioso, podemos extraer la
línea de comando que se ejecutaría al abrirlo.
La ejecución del archivo VBScript desencadena la descarga y ejecución del
archivo hxxp:// 5[.]188[.]87[.]58:2351/wbzadczl. Los comandos utilizan
una versión de Windows de cURL para descargar y ejecutar Autoit3 y el
script incluido eszexz.au3.
El script llegó precompilado, ocultando su código malicioso en medio
del archivo, comenzando con «bytes mágicos» asociados con los scripts
de AutoIT. Antes de continuar, el script comprueba si el software antivirus de
Sophos está instalado en la máquina de destino y, si no lo está, desofusca el
código adicional e inicia el shellcode.
Se abre DarkGate
DarkGate ha estado circulando desde 2017 y ha tenido un uso limitado por parte
de un pequeño círculo de ciberdelincuentes que lo utilizaron contra objetivos
muy específicos.
Es un potente malware que admite una amplia gama de actividades maliciosas,
incluido
hVNC
para acceso remoto, minería de criptomonedas, shell inverso, registro de
teclas, robo de portapapeles y robo de información (archivos, datos del
navegador).
En junio de 2023,
ZeroFox informó
que alguien que afirmaba ser el autor original de DarkGate intentó vender el
acceso al malware a diez personas por el absurdo coste de 100.000 dólares al
año. En los meses siguientes, ha habido múltiples informes sobre el aumento de
la distribución de DarkGate y el uso de varios canales, incluidos el phishing
y la publicidad maliciosa.
Si bien es posible que DarkGate aún no sea una amenaza generalizada, su
creciente focalización y adopción de múltiples vías de infección lo convierten
en una amenaza emergente que debemos monitorear de cerca.
Fuente:
BC
Los comentarios están cerrados.