Ciberseguridad 360 | Nuevas campañas de malware explotan Microsoft Teams y AnyDesk para distribuir DarkGate

Una nueva campa�a de ingenier�a social ha aprovechado Microsoft Teams como una forma de facilitar la implementaci�n de un malware conocido llamado DarkGate .

"Un atacante utiliz� ingenier�a social a trav�s de una llamada de Microsoft Teams para hacerse pasar por el cliente de un usuario y obtener acceso remoto a su sistema", dijeron los investigadores de Trend Micro Catherine Loveria, Jovit Samaniego y Gabriel Nicoleta .

"El atacante no logr� instalar una aplicaci�n de soporte remoto de Microsoft, pero logr� indicarle a la v�ctima que descargara AnyDesk, una herramienta com�nmente utilizada para el acceso remoto".

Como lo document� recientemente la empresa de ciberseguridad Rapid7, el ataque implic� bombardear la bandeja de entrada de correo electr�nico de un objetivo con "miles de correos electr�nicos", despu�s de lo cual los actores de la amenaza se acercaron a ellos a trav�s de Microsoft Teams haci�ndose pasar por empleados de un proveedor externo.

Luego, el atacante orden� a la v�ctima que instalara AnyDesk en su sistema, y ??posteriormente abus� del acceso remoto para entregar m�ltiples cargas �tiles, incluido un ladr�n de credenciales y el malware DarkGate.

DarkGate, que se utiliza activamente desde 2018, es un troyano de acceso remoto (RAT) que desde entonces ha evolucionado hasta convertirse en una oferta de malware como servicio (MaaS) con un n�mero de clientes estrictamente controlado. Entre sus variadas capacidades se encuentran el robo de credenciales, el registro de pulsaciones de teclas, la captura de pantalla, la grabaci�n de audio y el escritorio remoto.

Un an�lisis de varias campa�as de DarkGate durante el a�o pasado muestra que se sabe que se distribuye a trav�s de dos cadenas de ataque diferentes que emplean scripts AutoIt y AutoHotKey. En el incidente examinado por Trend Micro, el malware se implement� a trav�s de un script AutoIt.

Aunque el ataque fue bloqueado antes de que pudiera producirse cualquier actividad de exfiltraci�n de datos, los hallazgos son una se�al de c�mo los actores de amenazas est�n utilizando un conjunto diverso de rutas de acceso iniciales para la propagaci�n de malware.

Se recomienda a las organizaciones habilitar la autenticaci�n multifactor (MFA), incluir en la lista de herramientas de acceso remoto aprobadas, bloquear aplicaciones no verificadas y examinar exhaustivamente a los proveedores de soporte t�cnico de terceros para eliminar el riesgo de vishing.

El desarrollo se produce en medio de un aumento de diferentes campa�as de phishing que han aprovechado varios se�uelos y trucos para enga�ar a las v�ctimas y lograr que compartan sus datos.

Una campa�a a gran escala orientada a YouTube en la que actores maliciosos se hacen pasar por marcas populares y se acercan a los creadores de contenido por correo electr�nico para ofrecerles promociones potenciales, propuestas de asociaci�n y colaboraciones de marketing, y los instan a hacer clic en un enlace para firmar un acuerdo, lo que finalmente conduce a la implementaci�n de Lumma Stealer. Las direcciones de correo electr�nico de los canales de YouTube se extraen mediante un analizador.
Una campa�a de suplantaci�n de identidad que utiliza correos electr�nicos de phishing que contienen un archivo PDF adjunto que contiene un c�digo QR adjunto, que, cuando se escanea, dirige a los usuarios a una p�gina de inicio de sesi�n falsa de Microsoft 365 para recolectar credenciales.
Los ataques de phishing aprovechan la confianza asociada con Cloudflare Pages and Workers para configurar sitios falsos que imitan p�ginas de inicio de sesi�n de Microsoft 365 y verificaciones de CAPTCHA falsas para supuestamente revisar o descargar un documento.
Ataques de phishing que utilizan archivos adjuntos de correo electr�nico HTML disfrazados de documentos leg�timos como facturas o pol�ticas de RR.HH., pero que contienen c�digo JavaScript incorporado para ejecutar acciones maliciosas como redirigir a los usuarios a sitios de phishing, recopilar credenciales y enga�ar a los usuarios para que ejecuten comandos arbitrarios con el pretexto de corregir un error (es decir, ClickFix).
Campa�as de phishing por correo electr�nico que aprovechan plataformas confiables como Docusign, Adobe InDesign y Google Accelerated Mobile Pages (AMP) para que los usuarios hagan clic en enlaces maliciosos dise�ados para recopilar sus credenciales.
Intentos de phishing que dicen provenir del equipo de soporte de Okta en un intento de obtener acceso a las credenciales de los usuarios y violar los sistemas de la organizaci�n.
Mensajes de phishing dirigidos a usuarios indios que se distribuyen a trav�s de WhatsApp e instruyen a los destinatarios a instalar una aplicaci�n bancaria o de utilidad maliciosa para dispositivos Android que son capaces de robar informaci�n financiera.

Tambi�n se sabe que los actores de amenazas aprovechan r�pidamente los eventos globales para su beneficio incorpor�ndolos a sus campa�as de phishing, a menudo aprovechando la urgencia y las reacciones emocionales para manipular a las v�ctimas y persuadirlas de realizar acciones no deseadas. Estos esfuerzos tambi�n se complementan con registros de dominios con palabras clave espec�ficas de eventos.

"Los eventos mundiales de alto perfil, incluidos campeonatos deportivos y lanzamientos de productos, atraen a los cibercriminales que buscan explotar el inter�s p�blico", dijo la Unidad 42 de Palo Alto Networks . "Estos delincuentes registran dominios enga�osos que imitan sitios web oficiales para vender productos falsificados y ofrecer servicios fraudulentos".

"Al monitorear m�tricas clave como registros de dominios, patrones textuales, anomal�as de DNS y tendencias de solicitudes de cambio, los equipos de seguridad pueden identificar y mitigar amenazas de manera temprana".

Fuente: thehackernews