นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.com' เพื่อส่งข้อความ phishing และหลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ที่เป็นอันตราย
ขั้นตอนการโจมตี
- นักวิจัยระบุว่า ผู้โจมตีใช้ Domain ที่ถูกโจมตีเพื่อส่งคำเชิญเข้าไปในกลุ่ม Teams มากกว่า 1,000 กลุ่ม
- เมื่อเหยื่อกดยอมรับคำเชิญ ผู้โจมตีจะโน้มน้าวให้เหยื่อดาวน์โหลดไฟล์ที่มีนามสกุลในลักษณะ 2 นามสกุลต่อกัน ซึ่งคือไฟล์ชื่อ 'Navigating Future Changes October 2023.pdf.msi.'
- ไฟล์ดังกล่าวจะทำการดาวน์โหลดมัลแวร์ที่จะรับคำสั่งเพิ่มเติมจาก C2 Server ที่ Domain hgfdytrywq[.]com
- นักวิจัยตั้งข้อสังเกตว่าการโจมตีสำเร็จ เนื่องจากการที่ผู้ใช้เปิดใช้งานการเข้าถึงจากภายนอกใน Microsoft Teams เป็นค่าเริ่มต้น ทำให้ผู้ไม่หวังดีสามารถส่งข้อความถึงผู้ใช้งานได้
การโจมตีด้วยมัลแวร์ DarkGate เพิ่มขึ้น
- หลังจากการยุติการปฏิบัติงานของ Qakbot botnet เมื่อเดือนสิงหาคมที่ผ่านมา พบผู้ไม่หวังดีมีการใช้งานมัลแวร์ DarkGate loader เพิ่มมากขึ้น ซึ่งเป็นวิธีการหลักในการเข้าถึงระบบเครื่อข่ายขององค์กรต่าง ๆ
- ผู้ไม่หวังดีใช้เทคนิคต่าง ๆ รวมถึงการโจมตีด้วยวิธีการใช้ phishing และ malvertising เพื่อแพร่กระจายมัลแวร์ไปยังระบบของเหยื่อ
- DarkGate สามารถหลีกเลี่ยงการตรวจจับจาก Windows Defender, ขโมยประวัติการเข้าใช้งานของเบราว์เซอร์ และขโมย Token ของ Discord ได้
เนื่องจากการโจมตีล่าสุดใช้การโจมตีแบบ email phishing เพื่อแพร่กระจายมัลแวร์เข้าสูระบบ ผู้ใช้งานควรให้ความสนใจกับข้อความที่โน้มน้าวให้ดาวน์โหลดไฟล์มากขึ้น นอกจากนี้แนะนำให้ปิดการใช้งาน External Access ใน Microsoft Teams นอกจากกรณีการใช้งานที่จำเป็นเท่านั้น
ที่มา : cyware.com
You must be logged in to post a comment.