DarkGate恶意软件通过Skype传播的新趋势

重点摘要

由于其开发者在暗网论坛上推广，DarkGate恶意软件的使用最近有所增加。攻击者利用Skype和Microsoft Teams发送包含恶意链接的消息，以渗透目标组织。Trend Micro的研究显示，41的攻击来自美洲，接下来是亚洲、中东和非洲31，以及欧洲28。尽管研究者未明确账户如何被攻破，但猜测可能是通过泄露的凭据或组织的先前入侵而实现的。

DarkGate恶意软件通过Skype的传播情况引起了安全研究人员的关注，这种复杂的加载器自2017年以来一直存在，最近却再次在网络犯罪界受到青睐。自今年中旬以来，研究者注意到部署这款恶意软件的活动急剧上升，这可能与其开发者在暗网论坛上广告租赁有关。

上个月，Trusec的研究员发现被攻陷的Microsoft 365账户正在通过Teams聊天发送恶意链接，导致受害者下载DarkGate加载器，此加载器以VBA脚本的形式出现。

在10月12日的一篇文章中，Trend Micro的研究者提到了一种由未确定威胁分子开展的持续活动，涉及利用Skype和Teams等消息平台向特定组织传播DarkGate。在他们观察的这段时间7月至9月，他们发现41的攻击目标位于美洲，31覆盖亚洲、中东和非洲，剩余的28集中在欧洲。

“尚不清楚即时通讯应用的原始账户是如何被攻破的，但猜测可能是通过在地下论坛上泄露的凭据或母组织的先前入侵。”研究者表示。

外部消息用于初次接触

攻陷特定目标的Skype账户后，威胁行为者劫持了现有的对话线程，甚至不惜将恶意VBS脚本伪装成PDF文件重命名，使其与聊天记录的上下文相关。

在另一种情况下，Trend Micro的研究人员观察到威胁行为者从一个被攻陷的Microsoft Teams账户向目标组织发送包含恶意LNK文件的消息。这种技术与上个月Trusec描述的攻击方法类似，仅在受害者的组织允许接收来自外部发件人的Teams消息的情况下才可能实现这一功能虽然默认允许，但Microsoft允许客户选择关闭。

研究人员还观察到第三种传递VB脚本的方法：通过发件人的SharePoint网站发送一个压缩文件中的LNK文件。受害者被鼓励访问SharePoint网站并下载一个名为“Significant company changes Septemberzip”的恶意文件。

一旦执行DarkGate载荷，恶意软件通过将一个随机命名的LNK文件放置到Windows用户启动文件夹中来实现持久性，从而确保该文件在每次系统启动时自动执行。

Trend Micro表示，其观察到的攻击案例在威胁行为者能够实现其目标之前就被检测并控制住了。具体的目标尚不明确，可能会有所不同，因为DarkGate在暗网积极向各种犯罪团伙进行营销。

“网络罪犯可以利用这些载荷感染系统，包括信息窃取者、勒索软件、恶意和/或滥用的远程管理工具或加密货币挖矿工具。”研究者指出。

他们强调在Skype攻击的情况下，威胁行为者利用了组织正积极用于与第三方供应商沟通的消息平台，这使得说服受害者访问恶意文件变得容易。

“只要允许外部消息传递，或者通过被攻陷的账户滥用可信关系没有被检查，这种初始进入技术就可以针对任何即时通讯应用实施。”研究者表示。

“接收钓鱼消息的对象只是为了在环境中获取立足点的初始目标。最终目标是渗透整个环境，具体取决于购买或租赁DarkGate变体的威胁组，其威胁程度可能从勒索软件到加密挖矿不等。”