Kẻ tấn công khai thác Microsoft Teams và AnyDesk để triển khai phần mềm độc hại DarkGate
Kẻ tấn công khai thác Microsoft Teams và AnyDesk để triển khai phần mềm độc hại DarkGate
Một chiến dịch kỹ thuật xã hội mới đã tận dụng Microsoft Teams như một cách để tạo điều kiện triển khai phần mềm độc hại đã biết có tên là DarkGate.
"Kẻ tấn công đã sử dụng kỹ thuật xã hội thông qua cuộc gọi Microsoft Teams để mạo danh khách hàng của người dùng và truy cập từ xa vào hệ thống của họ", các nhà nghiên cứu bảo mật là Catherine Loveria, Jovit Samaniego và Gabriel Nicoleta cho biết.
"Kẻ tấn công đã không cài đặt được ứng dụng Hỗ trợ từ xa của Microsoft nhưng đã hướng dẫn thành công nạn nhân tải xuống AnyDesk, một công cụ thường được sử dụng để truy cập từ xa".
Theo ghi chép gần đây của công ty an ninh mạng, cuộc tấn công liên quan đến việc tấn công hộp thư đến của mục tiêu bằng "hàng nghìn email", sau đó những kẻ tấn công tiếp cận họ thông qua Microsoft Teams bằng cách đóng giả là nhân viên của một nhà cung cấp bên ngoài.
Sau đó, kẻ tấn công tiếp tục hướng dẫn nạn nhân cài đặt AnyDesk trên hệ thống của họ, sau đó quyền truy cập từ xa bị lạm dụng để phân phối nhiều phần mềm độc hại, bao gồm cả phần mềm đánh cắp thông tin xác thực và phần mềm độc hại DarkGate.
Được sử dụng tích cực trong tự nhiên từ năm 2018, DarkGate là trojan truy cập từ xa (RAT) đã phát triển thành dịch vụ phần mềm độc hại dưới dạng dịch vụ (MaaS) với số lượng khách hàng được kiểm soát chặt chẽ. Trong số các khả năng đa dạng của nó là thực hiện hành vi trộm thông tin đăng nhập, ghi lại phím, chụp màn hình, ghi âm và máy tính để bàn từ xa.
Phân tích các chiến dịch DarkGate khác nhau trong năm qua cho thấy nó được biết là được phân phối thông qua hai chuỗi tấn công khác nhau sử dụng các tập lệnh AutoIt và AutoHotKey. Trong sự cố được công ty bảo mật kiểm tra, phần mềm độc hại đã được triển khai thông qua một tập lệnh AutoIt.
Mặc dù cuộc tấn công đã bị chặn trước khi bất kỳ hoạt động đánh cắp dữ liệu nào có thể diễn ra, nhưng những phát hiện này là dấu hiệu cho thấy cách các tác nhân đe dọa đang sử dụng một tập hợp các tuyến truy cập ban đầu đa dạng để phát tán phần mềm độc hại.
Các tổ chức được khuyến nghị bật xác thực đa yếu tố (MFA), cho phép các công cụ truy cập từ xa được phê duyệt, chặn các ứng dụng chưa được xác minh và kiểm tra kỹ lưỡng các nhà cung cấp hỗ trợ kỹ thuật của bên thứ ba để loại bỏ rủi ro vishing.
Sự phát triển diễn ra trong bối cảnh các chiến dịch lừa đảo khác nhau đang gia tăng, tận dụng nhiều chiêu trò và thủ đoạn khác nhau để lừa nạn nhân cung cấp dữ liệu của họ -
Một chiến dịch quy mô lớn hướng đến YouTube, trong đó những kẻ xấu mạo danh các thương hiệu nổi tiếng và tiếp cận những người sáng tạo nội dung qua email để quảng cáo tiềm năng, đề xuất hợp tác và hợp tác tiếp thị, đồng thời thúc giục họ nhấp vào liên kết để ký thỏa thuận, cuối cùng dẫn đến việc triển khai Lumma Stealer. Địa chỉ email từ các kênh YouTube được trích xuất bằng trình phân tích cú pháp.
Một chiến dịch lừa đảo sử dụng email lừa đảo có tệp đính kèm PDF chứa mã QR, khi được quét, sẽ chuyển hướng người dùng đến trang đăng nhập Microsoft 365 giả mạo để thu thập thông tin xác thực.
Các cuộc tấn công lừa đảo lợi dụng sự tin cậy liên quan đến Cloudflare Pages và Workers để thiết lập các trang web giả mạo bắt chước các trang đăng nhập Microsoft 365 và kiểm tra xác minh CAPTCHA giả mạo để được cho là xem xét hoặc tải xuống tài liệu.
Các cuộc tấn công lừa đảo sử dụng tệp đính kèm email HTML được ngụy trang dưới dạng các tài liệu hợp pháp như hóa đơn hoặc chính sách nhân sự nhưng chứa mã JavaScript nhúng để thực hiện các hành động độc hại như chuyển hướng người dùng đến các trang web lừa đảo, thu thập thông tin đăng nhập và lừa người dùng chạy các lệnh tùy ý với lý do sửa lỗi (ví dụ: ClickFix).
Các chiến dịch lừa đảo qua email tận dụng các nền tảng đáng tin cậy như Docusign, Adobe InDesign và Google Accelerated Mobile Pages (AMP) để khiến người dùng nhấp vào các liên kết độc hại được thiết kế để thu thập thông tin đăng nhập của họ.
Các nỗ lực lừa đảo tự nhận là từ nhóm hỗ trợ của Okta nhằm mục đích truy cập vào thông tin đăng nhập của người dùng và xâm phạm hệ thống của tổ chức.
Các tin nhắn lừa đảo nhắm vào người dùng Ấn Độ được phân phối qua WhatsApp và hướng dẫn người nhận cài đặt ứng dụng ngân hàng hoặc tiện ích độc hại cho thiết bị Android có khả năng đánh cắp thông tin tài chính.
Những kẻ đe dọa cũng được biết đến là nhanh chóng tận dụng các sự kiện toàn cầu để có lợi cho chúng bằng cách kết hợp chúng vào các chiến dịch lừa đảo của chúng, thường lợi dụng sự cấp bách và phản ứng cảm xúc để thao túng nạn nhân và thuyết phục họ thực hiện các hành động không mong muốn. Những nỗ lực này cũng được bổ sung bằng cách đăng ký tên miền với các từ khóa cụ thể cho sự kiện.
"Các sự kiện toàn cầu nổi bật, bao gồm các giải vô địch thể thao và ra mắt sản phẩm, thu hút tội phạm mạng tìm cách khai thác lợi ích công cộng", Palo Alto Networks Unit 42 cho biết. "Những tên tội phạm này đăng ký các tên miền lừa đảo bắt chước các trang web chính thức để bán hàng giả và cung cấp các dịch vụ gian lận".
"Bằng cách theo dõi các số liệu chính như đăng ký tên miền, mẫu văn bản, bất thường DNS và xu hướng yêu cầu thay đổi, các nhóm bảo mật có thể xác định và giảm thiểu các mối đe dọa ngay từ đầu".
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...
Chi tiếtTin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...
Chi tiếtMặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...
Chi tiết