นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย
DarkGate malware เปิดตัวในปี 2017 เป็นมัลแวร์ที่มีศักยภาพ และเป็นอันตรายมาก รวมถึงมี hVNC สำหรับการ remote access, cryptocurrency mining, reverse shell, keylogging, clipboard stealing และการขโมยข้อมูล (files, browser data) ซึ่งมักถูกใช้กับเป้าหมายที่กำหนดไว้ รวมถึงในเดือนมิถุนายน 2023 ZeroFox รายงานว่า DarkGate ได้พยายามขาย DarkGate malware ด้วยราคา 100,000 ดอลลาร์ต่อปี
การโจมตี
หลังจากที่เหยื่อคลิกเปิดไฟล์แนบ มันจะทำการดาวน์โหลดไฟล์ ZIP จาก URL ของ SharePoint และมีไฟล์ LNK ที่ปลอมแปลงเป็นเอกสาร PDF ที่ฝัง VBScript อันตราย เพื่อดาวน์โหลดเพย์โหลด DarkGate Loader
ในกระบวนการดาวน์โหลดจะใช้ Windows cURL ทำการดึงไฟล์ปฏิบัติการ และไฟล์สคริปต์ของมัลแวร์ ด้วยการทำ script arrived pre-compiled เพื่อซ่อนโค้ดที่เป็นอันตรายไว้ตรงกลางไฟล์ โดยเริ่มจาก "magic bytes" ที่สามารถแยกแยะได้ซึ่งเชื่อมโยงกับสคริปต์ AutoIT ซึ่งทำให้สามารถหลีกเลี่ยงการตรวจจับได้
รวมถึงก่อนที่จะดำเนินการขั้นต่อไป จะมีการตรวจสอบว่าเครื่องเป้าหมายมีการติดตั้งซอฟต์แวร์ป้องกันไวรัส Sophos หรือไม่ หากไม่มี สคริปต์ก็จะถอดรหัสโค้ดเพิ่มเติมให้ซับซ้อนน้อยลง และเรียกใช้ shellcode แบบ "stacked strings" เพื่อสร้างไฟล์ปฏิบัติการ DarkGate Windows และโหลดลงในหน่วยความจำ
การค้นพบแคมเปญการโจมตี phishing ใน Microsoft Teams
โดย Truesec และ Deutsche Telekom CERT ได้ค้นพบการใช้บัญชี Microsoft Teams ที่ถูกโจมตีเพื่อส่งไฟล์แนบที่เป็นอันตรายไปยังองค์กรที่ใช้ Teams อื่น ๆ เช่นเดียวกับที่ Jumpsec ได้ออกรายงานเดือนมิถุนายน 2023 ซึ่งสาธิตวิธีการโจมตีโดยใช้ Microsoft Teams เพื่อส่งข้อความที่เป็นอันตรายไปยังองค์กรอื่น ๆ ผ่านการโจมตี phishing และ social engineering ซึ่งทาง Microsoft ก็ไม่ได้ทำการแก้ไขแต่อย่างใด แทนที่จะแนะนำให้ผู้ดูแลระบบทำการตั้งค่าที่ปลอดภัย เช่น จัดทำรายการที่อนุญาตให้ใช้งานอย่างเข้มงวด และปิดใช้งานการเข้าถึงภายนอก หากไม่จำเป็น
ที่มา : bleepingcomputer
You must be logged in to post a comment.