Angreifer verbreitet DarkGate mit MS Teams Vishing-Technik

Es wurde beobachtet, dass ein Bedrohungsakteur Vishing über Microsoft Teams einsetzt, um DarkGate-Malware zu installieren und die Fernsteuerung über das Computernetzwerk des Opfers zu übernehmen.

Trend Micro berichtet, dass sich der Angreifer bei einem MS Teams-Anruf als Mitarbeiter eines bekannten Kunden ausgab und so den Zielbenutzer dazu brachte, die Remote-Desktop-Anwendung AnyDesk herunterzuladen, die dann die Installation der DarkGate-Malware ermöglichte.

DarkGate ist eine ausgeklügelte Malware, die verschiedene bösartige Aktivitäten wie Datendiebstahl, unbefugten Zugriff und Systemkompromittierung durchführen kann. Sie kann auf zahlreiche Arten verbreitet werden und ist in der Lage, fortschrittliche Umgehungstechniken zu nutzen.

Der Fall markiert eine bemerkenswerte Entwicklung in der Art und Weise, wie DarkGate verbreitet wird. Zuvor wurde die Malware hauptsächlich durch Phishing-E-Mails, Malvertising und SEO-Poisoning verbreitet.

Angreifer gibt sich bei Teamanruf als Lieferant aus

Der Angreifer nutzte Social Engineering, um sich zunächst Zugang zum Gerät des Opfers zu verschaffen.

Die Zielperson wurde zunächst mit "mehreren Tausend E-Mails" überflutet und dann von dem Angreifer, der sich als Mitarbeiter eines externen Lieferanten ausgab, zu MS Teams gerufen.

Zunächst wurde das Opfer angewiesen, die Anwendung Microsoft Remote Support herunterzuladen. Die Installation über den Microsoft Store schlug jedoch fehl.

Der Angreifer forderte den Benutzer dann auf, AnyDesk herunterzuladen, und brachte ihn dazu, seine Anmeldedaten in die App einzugeben.

Sekunden nach dem Herunterladen der Anwendung wurde der Befehl "C:\Users\\Downloads\AnyDesk.exe" ausgeführt. Dieser Befehl startet die AnyDesk-Remote-Desktop-Anwendung als lokalen Dienst auf dem System, was bedeutet, dass sie mit erhöhten Rechten oder in minimierter/automatisierter Form ausgeführt werden kann.

Minuten später wurde cmd.exe aufgerufen, um rundll32.exe auszuführen und SafeStore.dll zu laden, die laut Trend Micro über AnyDesk.exe abgelegt wurde.

Bei der Ausführung von SafeStore.dll wurde ein Anmeldeformular zur Eingabe von Anmeldedaten aufgerufen. Selbst wenn der Benutzer keine Anmeldedaten eingab, liefen im Hintergrund mehrere bösartige Befehle, die detaillierte Informationen über das System lieferten, z. B. über dessen Konfiguration und Netzwerkschnittstellen.

Die ausführbare Datei SystemCert.exe wurde bei dem Angriff ebenfalls ausgeführt, wodurch die Dateien script.a3x und AutoIt3.exe entstanden. Diese wurden verwendet, um die Erkennung zu umgehen und das DarkGate-Skript in den Speicher zu laden und auszuführen.

Autoit3.exe führte außerdem das Skript.a3x aus, um einen Prozess in MicrosoftEdgeUpdateCore.exe einzuschleusen, der dann eine Verbindung zu einem Command-and-Control-Server herstellte.

Schließlich wurde ein PowerShell-Befehl ausgeführt, um die DarkGate-Nutzlast abzuwerfen.

Nach der Installation wurden mehrere Dateien und ein Registrierungseintrag für die Persistenz erstellt.

Der Angriff wurde aufgedeckt und verhindert, bevor es zur Datenexfiltration kam.

Wie man MS Teams Vishing-Angriffe abwehrt

Die Forscher erklärten, der Fall zeige, wie sich Social-Engineering-Angriffe weiterentwickeln. Sie wiesen darauf hin, dass Microsoft einen ähnlichen Fall dokumentiert hatte, in dem der Angreifer Vishing einsetzte, um ein Ziel dazu zu bringen, QuickAssist herunterzuladen, um Zugang zum System zu erhalten und Ransomware zu verbreiten.

Trend Micro rät Unternehmen, Maßnahmen zu ergreifen, um dieser Art von Technik zu begegnen.

Gründliche Prüfung von Drittanbietern für technischen Support, um sicherzustellen, dass alle Behauptungen über die Zugehörigkeit des Anbieters direkt überprüft werden, bevor der Fernzugriff auf Unternehmenssysteme gewährt wird
Whitelist für zugelassene Fernzugriffs-Tools und Blockierung nicht überprüfter Anwendungen
Integrieren Sie die Multi-Faktor-Authentifizierung (MFA) in Tools für den Fernzugriff, um eine zusätzliche Schutzebene zu schaffen.
Mitarbeiterschulungen zur Sensibilisierung für die Gefahren von unaufgeforderten Support-Anrufen oder Pop-ups

Quelle

Kommentar verfassen Kommentieren abbrechen

London, GB

11:00 am, Jan. 16, 2025

8°C

L: 7° | H: 9°

Fühlt sich an wie 7°C° overcast clouds

Luftfeuchtigkeit: 91 %

Druck: 1035 mb

Wind: 5 mph WSW

Windböe: 0 mph

UV-Index: 0

Niederschlag: 0 mm

Wolken: 100%

Regen Chance: 0%

Sichtbarkeit: 10 km

Sonnenaufgang: 7:58 am

Sonnenuntergang: 4:21 pm

TäglichStündlich

Tägliche VorhersageStündliche Vorhersage

Today 9:00 pm

7° | 9°°C 0 mm 0% 4 mph 94 % 1035 mb 0 mm/h

Tomorrow 9:00 pm

3° | 7°°C 0 mm 0% 4 mph 96 % 1035 mb 0 mm/h

Sa. Jan. 18 9:00 pm

2° | 7°°C 0 mm 0% 3 mph 87 % 1033 mb 0 mm/h

So. Jan. 19 9:00 pm

1° | 6°°C 0 mm 0% 6 mph 90 % 1023 mb 0 mm/h

Mo. Jan. 20 9:00 pm

5° | 9°°C 0 mm 0% 7 mph 96 % 1022 mb 0 mm/h

Today 12:00 pm

8° | 8°°C 0 mm 0% 4 mph 91 % 1034 mb 0 mm/h

Today 3:00 pm

8° | 9°°C 0 mm 0% 3 mph 87 % 1034 mb 0 mm/h

Today 6:00 pm

6° | 7°°C 0 mm 0% 4 mph 93 % 1034 mb 0 mm/h

Today 9:00 pm

5° | 5°°C 0 mm 0% 4 mph 94 % 1035 mb 0 mm/h

Tomorrow 12:00 am

4° | 4°°C 0 mm 0% 3 mph 96 % 1034 mb 0 mm/h

Tomorrow 3:00 am

4° | 4°°C 0 mm 0% 4 mph 96 % 1034 mb 0 mm/h

Tomorrow 6:00 am

3° | 3°°C 0 mm 0% 3 mph 95 % 1035 mb 0 mm/h

Tomorrow 9:00 am

3° | 3°°C 0 mm 0% 3 mph 95 % 1035 mb 0 mm/h

Name	Preis	24H (%)
Bitcoin(BTC)	€96,458.41	2.43%
Ethereum(ETH)	€3,242.14	4.05%
XRP(XRP)	€3.01	10.38%
Fesseln(USDT)	€0.97	0.02%
Solana(SOL)	€194.93	7.05%
Dogecoin(DOGE)	€0.364481	6.05%
USDC(USDC)	€0.97	-0.01%
Shiba Inu(SHIB)	€0.000021	4.28%
Pepe(PEPE)	€0.000017	7.51%
Peanut das Eichhörnchen(PNUT)	€0.60	11.19%

Angreifer verbreitet DarkGate mit MS Teams Vishing-Technik

Teilen:

Angreifer gibt sich bei Teamanruf als Lieferant aus

Wie man MS Teams Vishing-Angriffe abwehrt

Kommentar verfassen Kommentieren abbrechen

Verbindung zum Dienstprogramm

Nützlicher Link

Newsletter

Folgen Sie uns