ระหว่างเดือนกรกฎาคม ถึงกันยายน การโจมตีด้วยมัลแวร์ DarkGate ได้ใช้บัญชี Skype ที่ถูกแฮ็กเพื่อติดตั้งบนเครื่องเป้าหมาย ผ่านข้อความที่มีไฟล์แนบสคริปต์ VBA loader
ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Trend Micro ตรวจพบการโจมตี สคริปต์นี้จะดาวน์โหลดสคริปต์ AutoIT ขั้นตอนที่สอง ซึ่งออกแบบมาเพื่อวาง และเรียกใช้เพย์โหลดมัลแวร์ DarkGate
Trend Micro รายงานว่า การเข้าถึงบัญชี Skype ของเหยื่อทำให้ผู้โจมตีสามารถเข้าถึงการสนทนาที่มีอยู่ และออกแบบวิธีการตั้งชื่อของไฟล์ให้เกี่ยวข้องกับประวัติการแชท
ยังไม่แน่ชัดว่าบัญชีต้นทางของแอปพลิเคชัน Skype ถูกโจมตีได้อย่างไร อย่างไรก็ตาม มีสมมติฐานว่าเกิดขึ้นได้จากสองสาเหตุ คือ ข้อมูลประจำตัวที่รั่วไหลซึ่งมีอยู่ตามฟอรัมใต้ดิน หรือการบุกรุกก่อนหน้าขององค์กรเหล่านั้น
Trend Micro ยังพบว่า DarkGate พยายามผลักดันเพย์โหลดมัลแวร์ผ่าน Microsoft Teams ในองค์กรที่กำหนดค่าให้สามารถรับข้อความจากผู้ใช้ภายนอก
แคมเปญฟิชชิงของ Teams ที่ใช้ VBScript ที่เป็นอันตรายเพื่อปล่อยมัลแวร์ DarkGate ถูกพบครั้งแรกโดย Truesec และ MalwareBytes
โดยผู้โจมตีได้กำหนดเป้าหมายเป็นผู้ใช้ Microsoft Teams ผ่านบัญชี Office 365 ที่ถูกบุกรุกนอกองค์กรของตนเอง และเครื่องมือที่ใช้งานได้ฟรีชื่อ TeamsPhisher ซึ่งเครื่องมือนี้ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดสำหรับไฟล์ที่เข้ามาจากผู้ให้บริการภายนอก และส่งไฟล์แนบฟิชชิงไปยังผู้ใช้ Teams
Trend Micro ระบุว่า เป้าหมายยังคงเป็นการเจาะเข้าไปในระบบทั้งหมด และขึ้นอยู่กับกลุ่มผู้โจมตีที่ซื้อ หรือเช่า DarkGate ที่ใช้ ทำให้ภัยคุกคามอาจแตกต่างกันไป ตั้งแต่แรนซัมแวร์ ไปจนถึงการขุดคริปโต
จากข้อมูล telemetry พบว่า DarkGate นำไปสู่การตรวจพบเครื่องมือที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ Black Basta
การเพิ่มขึ้นของมัลแวร์ DarkGate
อาชญากรทางไซเบอร์ได้นำ loader ของมัลแวร์ DarkGate มาใช้มากขึ้นสำหรับการเข้าถึงเบื้องต้นในเครือข่ายขององค์กร ซึ่งเป็นแนวโน้มที่สังเกตได้ตั้งแต่การหยุดปฏิบัติการของบอทเน็ต Qakbot ในเดือนสิงหาคม เนื่องมาจากความพยายามร่วมมือระหว่างประเทศ
ก่อนที่ Qakbot จะถูกปิดตัวลง ผู้พัฒนา DarkGate ได้พยายามขายการสมัครสมาชิกบนฟอรัมแฮ็กเกอร์โดยคิดค่าธรรมเนียมรายปีสูงถึง 100,000 ดอลลาร์สหรัฐฯ
มัลแวร์ DarkGate ถูกโฆษณาว่ามีคุณสมบัติหลากหลาย รวมถึง :
- VNC ที่ถูกซ่อน
- ความสามารถในการหลีกเลี่ยง Windows Defender
- เครื่องมือขโมยประวัติการใช้งานบนเบราว์เซอร์
- reverse proxy ในตัว
- ตัวจัดการไฟล์
- การขโมยโทเค็น Discord
หลังจากประกาศนี้ มีรายงานการติดมัลแวร์ DarkGate เพิ่มขึ้นอย่างเห็นได้ชัดผ่านช่องทางการโจมตีต่าง ๆ เช่น การฟิชชิง และมัลแวร์ที่ถูกซ่อนอยู่ในโฆษณาออนไลน์
การเพิ่มขึ้นของ DarkGate ล่าสุดเน้นย้ำถึงอิทธิพลที่เพิ่มขึ้นของ Malware-as-a-Service (MaaS) ภายในวงการอาชญากรรมไซเบอร์
เรื่องนี้ยังเน้นย้ำถึงความมุ่งมั่นของผู้โจมตีที่จะดำเนินการโจมตีต่อไป โดยปรับเปลี่ยนกลยุทธ์ และวิธีการของตนเอง แม้จะได้รับการขัดขวางก็ตาม
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.