Gli attacchi malware DarkGate, tra luglio e settembre, hanno sfruttato account Skype compromessi per infettare le vittime attraverso messaggi contenenti allegati con script VBA loader. Questi script scaricano un secondo script AutoIT progettato per rilasciare ed eseguire il payload finale del malware DarkGate.
Dettagli sull’attacco
Secondo i ricercatori di sicurezza di Trend Micro, che hanno individuato gli attacchi, l’accesso all’account Skype della vittima ha permesso all’attore malevolo di dirottare un thread di messaggistica esistente e di creare una convenzione di denominazione dei file in relazione al contesto della cronologia della chat. Non è chiaro come gli account originari delle applicazioni di messaggistica istantanea siano stati compromessi, ma si ipotizza che ciò sia avvenuto attraverso credenziali trapelate disponibili su forum sotterranei o attraverso la compromissione precedente dell’organizzazione madre.
Ulteriori tentativi di diffusione
Trend Micro ha anche osservato gli operatori di DarkGate che cercavano di diffondere il loro payload malware attraverso Microsoft Teams nelle organizzazioni dove il servizio era configurato per accettare messaggi da utenti esterni. Campagne di phishing su Teams, che utilizzavano VBScript maligno per distribuire il malware DarkGate, erano state precedentemente individuate da Truesec e MalwareBytes. Gli attori malevoli hanno preso di mira gli utenti di Microsoft Teams attraverso account Office 365 compromessi al di fuori delle loro organizzazioni e un tool pubblicamente disponibile chiamato TeamsPhisher.
Obiettivi degli attacchi
L’obiettivo rimane quello di penetrare l’intero ambiente e, a seconda del gruppo di minacce che ha acquistato o noleggiato la variante DarkGate utilizzata, le minacce possono variare dal ransomware al cryptomining. Secondo Trend Micro, DarkGate ha portato al rilevamento di strumenti comunemente associati al gruppo ransomware Black Basta.
Aumento dell’attività di DarkGate
I cybercriminali hanno adottato sempre più il loader malware DarkGate per l’accesso iniziale alle reti aziendali, una tendenza osservata dalla scomparsa del botnet Qakbot ad agosto. Prima dello smantellamento di Qakbot, un individuo che si spacciava per lo sviluppatore di DarkGate ha tentato di vendere abbonamenti su un forum di hacking, chiedendo una tariffa annuale fino a $100,000. Dopo questo annuncio, c’è stato un notevole aumento nelle segnalazioni di infezioni DarkGate attraverso vari metodi di consegna.