Раскрыта новая фишинговая афера под названием «Загрузчик DarkGate», предназначенная для Microsoft Teams. Ее можно идентифицировать по сообщению и ссылке с надписью «изменения в расписании отпусков». Переход по этой ссылке и последующее скачивание и распаковка .ZIP-архивов загружают на ваш ПК вредоносное ПО.
Хакеры рассылают вредоносное ПО через обычные сообщения в Microsoft Teams
Хакеры настолько изощряются в использовании вредоносных программ, что делают ссылки похожими на уведомление о времени отпуска в компаниях.
GettyImages
Вирус в Microsoft Teams
Исследовательская группа Truesec наблюдает за загрузчиком DarkGate с конца августа и отмечает, что хакеры использовали сложный процесс загрузки, из-за которого файл трудно идентифицировать как вредоносный.
Хакеры смогли использовать скомпрометированные учетные записи Office 365 для отправки зараженного вредоносным ПО сообщения со ссылкой «изменения в расписании отпусков» через Microsoft Teams. Truesec обнаружила учетные записи, которые были захвачены хакерами для отправки вредоносного ПО DarkGate Loader. К ним относятся «Аккаравит Таттаманас» (63090101@my.buu.ac.th) и «АБНЕР ДЭВИД РИВЕРА РОХАС» (adriverar@unadvirtual.edu.co).
Вредоносная программа содержит зараженный VBScript, скрытый в LNK (ярлык Windows). Исследовательская группа отмечает, что атака является коварной из-за URL-адреса SharePoint, из-за которого пользователям трудно понять, что это вредоносный файл. Предварительно скомпилированный тип сценария Windows cURL также затрудняет идентификацию кода, поскольку код скрыт в середине файла.
Скрипт способен точно определить, установлен ли у пользователя антивирус. В противном случае вредоносная программа может внедрить дополнительный код в атаке под названием «stacked strings», которая открывает шелл-код, создающий исполняемый файл DarkGate, загружаемый в системную память, пишут эксперты.