Ciberseguridad 360 | Hackers emplean Skype y Microsoft Teams para propagar malware DarkGate

Se ha observado la propagaci�n de un malware conocido como DarkGate a trav�s de plataformas de mensajer�a instant�nea como Skype y Microsoft Teams.

En estos ataques, las aplicaciones de mensajer�a se utilizan para enviar un script cargador de Visual Basic para Aplicaciones (VBA) que se hace pasar por un documento PDF, el cual, al abrirse, desencadena la descarga y ejecuci�n de un script AutoIt dise�ado para lanzar el malware.

"No est� claro c�mo se comprometieron las cuentas de origen de las aplicaciones de mensajer�a instant�nea, pero se cree que fue a trav�s de credenciales filtradas disponibles en foros clandestinos o del compromiso previo de la organizaci�n matriz", afirma Trend Micro en un nuevo an�lisis publicado el jueves.

DarkGate, documentado por primera vez por Fortinet en noviembre de 2018, es un malware b�sico que incorpora una amplia gama de funciones para recopilar datos confidenciales de los navegadores web, realizar miner�a de criptomonedas y permitir a sus operadores controlar remotamente los hosts infectados. Tambi�n funciona como un descargador de cargas �tiles adicionales, como Remcos RAT.

Las campa�as de ingenier�a social que distribuyen el malware han experimentado un repunte en los �ltimos meses, aprovechando t�cticas de entrada iniciales como correos electr�nicos de phishing y envenenamiento de la optimizaci�n de motores de b�squeda (SEO) para atraer a usuarios desprevenidos a instalarlo.

El repunte se debe a la decisi�n del autor del malware de anunciarlo en foros clandestinos y alquilarlo como malware como servicio a otros actores de amenazas, despu�s de a�os utiliz�ndolo de forma privada.

El uso de los mensajes de chat de Microsoft Teams como vector de propagaci�n de DarkGate ya fue destacado por Truesec a principios del mes pasado, lo que indica que es probable que est� siendo utilizado por varios actores de amenazas.

La mayor�a de los ataques se han detectado en Am�rica, seguida de cerca por Asia, Oriente Medio y �frica, seg�n Trend Micro.

El procedimiento general de infecci�n abusando de Skype y Teams se parece mucho a una campa�a de malspam reportada por Telekom Security a finales de agosto de 2023, salvo por el cambio en la ruta de acceso inicial.

"El autor de la amenaza abus� de una relaci�n de confianza entre las dos organizaciones para enga�ar al destinatario y conseguir que ejecutara el script VBA adjunto", afirman los investigadores de Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh y David Walsh.

"El acceso a la cuenta de Skype de la v�ctima permiti� al actor secuestrar un hilo de mensajer�a existente y elaborar la convenci�n de nomenclatura de los archivos para relacionarlos con el contexto del historial de chat".

El script VBA sirve como conducto para obtener la aplicaci�n AutoIt leg�tima (AutoIt3.exe) y un script AutoIT asociado responsable de lanzar el malware DarkGate.

Una secuencia de ataque alternativa implica que los atacantes env�en un mensaje de Microsoft Teams que contenga un archivo ZIP adjunto con un archivo LNK que, a su vez, est� dise�ado para ejecutar un script VBA para recuperar AutoIt3.exe y el artefacto DarkGate.

"Los hackers pueden utilizar estas cargas �tiles para infectar los sistemas con varios tipos de malware, incluidos ladrones de informaci�n, ransomware, herramientas de gesti�n remota maliciosas y/o abusivas y mineros de criptomoneda", afirman los investigadores.

"Mientras se permita la mensajer�a externa, o no se controle el abuso de relaciones de confianza a trav�s de cuentas comprometidas, entonces esta t�cnica para la entrada inicial se puede hacer a y con cualquier aplicaci�n de mensajer�a instant�nea (IM)".

Fuente: thehackernews