Il malware DarkGate continua a diffondersi tramite Skype e Teams

Il team di sicurezza di Trend Micro ha scoperto una campagna dannosa che, tra luglio e settembre scorso, ha sfruttato account Skype compromessi dal malware DarkGate per infettare alcuni obiettivi tramite messaggi contenenti allegati di script del caricatore VBA. Secondo i ricercatori, questo script scarica uno script AutoIT di seconda fase, progettato per rilasciare ed eseguire il payload finale del malware DarkGate. Come riportato da Trend Micro in un comunicato pubblicato sul proprio sito ufficiale: “L'accesso all'account Skype della vittima ha consentito all'attore di prendere il controllo di un thread di messaggistica esistente e di creare la convenzione di denominazione dei file in modo che si riferisse al contesto della cronologia della chat”. I ricercatori non hanno scoperto come gli account Skype (da cui è partito tutto) siano stati compromessi, ma ipotizzano che ciò sia avvenuto tramite password rubate o tramite la precedente compromissione dell’organizzazione madre.

DarkGate: come si è diffuso il malware tramite Teams

DarkGate non si è diffuso soltanto via Skype, ma anche Microsoft Teams. Trend Micro ha infatti osservato che i creatori del malware inviavano messaggi dannosi anche tramite Teams. In questo caso, il sistema dell’organizzazione consentiva alla vittima di ricevere messaggi da utenti esterni, divenendo così un potenziale bersaglio di spam. Non si tratta comunque dell’unico caso. Recentemente, infatti, anche le società di sicurezza Truesec e MalwareBytes avevano analizzato campagne di phishing su Teams che utilizzavano VBScript dannoso per distribuire il malware DarkGate. I ricercatori di Trend Micro hanno spiegato che gli hacker hanno preso di mira gli utenti Microsoft Teams utilizzano account Office 365 compromessi (al di fuori delle proprie organizzazioni) e lo strumento TeamsPhisher. Quest’ultimo permette ai criminali di aggirare le restrizioni per i file in entrata da tenant esterni e inviare allegati di phishing gli utenti Teams.

Negli ultimi tempi, i cybercriminali hanno utilizzato sempre più spesso caricatore di malware DarkGate per accedere alle reti aziendali. Ciò sottolinea la crescente influenza di questa operazione di malware-as-a-service (MaaS) nella sfera dei criminali informatici. La maggior parte degli attacchi DarkGate sono stati osservati in America, Asia, Medio Oriente e Africa (per fortuna meno in Europa). Trend Micro ha infine ricordato che ogni nuova applicazione in un’organizzazione dovrebbe essere controllata per limitare possibili attacchi. Inoltre, le app di messaggistica dovrebbero essere implementate misure di sicurezza, come il blocco di domini esterni, il controllo degli allegati e l’implementazione della scansione. I ricercatori consigliano infine l’autenticazione a più fattori per proteggere le app in caso di compromissione di credenziali. Ciò dovrebbe limitare la potenziale proliferazione di minacce che utilizzano questi metodi.