A thwarted attack demonstrates that threat actors using yet another delivery method for the malware, which already has been spread using phishing emails, malvertising, hijacking of instant messages, and SEO poisoning.
Der DarkGate-Remote-Access-Trojaner (RAT) hat einen neuen Angriffsvektor: Ein Bedrohungsakteur hat einen Microsoft Teams-Benutzer über einen Sprachanruf angegriffen, um Zugriff auf sein Gerät zu erhalten.
Der Angriff ergänzt die anderen Methoden zur Verbreitung des RAT, der bisher über Phishing-MailsMalvertising, Hijacking von Skype- und Teams-Nachrichtenund Suchmaschinenoptimierung (SEO) Vergiftung, sagte Forscher.
Die Forscher von Trend Micro entdeckten das Voice-Phishing, oder vishingBei diesem Angriff versuchte ein Angreifer zunächst, eine Microsoft-Anwendung für den Fernsupport zu installieren, um Zugriff auf das Gerät des Benutzers zu erhalten, wie das Unternehmen in einer aktueller Blogeintrag. Nachdem dies fehlgeschlagen war, nutzten die Cyberangreifer Social Engineering, um das Opfer davon zu überzeugen, das AnyDesk-Tool für den Fernzugriff herunterzuladen, was ihnen schließlich auch gelang.
Der Angreifer lud mehrere "verdächtige Dateien" auf den Rechner des Opfers über eine Verbindung zu einem Command-and-Control (C2)-Server, von denen laut Trend Micro eine DarkGate war. Das RAT, das wie üblich über ein AutoIt-Skript verteilt wurde, ermöglichte die Fernsteuerung des Rechners des Benutzers, führte bösartige Befehle aus, sammelte Systeminformationen und stellte eine Verbindung zu einem Command-and-Control-Server (C2) her.
Eine mehrstufige Vishing-Cyberattacke
Der mehrstufige Angriff begann in typischer DarkGate-Manier mit einer Flut von Tausenden von Phishing-E-Mails, die an den Posteingang des Opfers geschickt wurden. Auf die E-Mails folgte ein Anruf bei Microsoft Teams, in dem es angeblich um technischen Support ging, wodurch der Vishing-Angriff eingeleitet wurde.
Der Anrufer gab sich als Mitarbeiter eines externen Lieferanten des Unternehmens des Opfers aus, der Hilfe benötigte, und wies das Opfer an, die Microsoft Remote Support-Anwendung herunterzuladen.
"Die Installation über den Microsoft Store schlug jedoch fehl", schreiben die Trend Micro Forscher Catherine Loveria, Jovit Samaniego und Gabriel Nicoleta in dem Beitrag. "Der Angreifer wies das Opfer dann an, AnyDesk über den Browser herunterzuladen und den Benutzer dazu zu bringen, seine Anmeldedaten für AnyDesk einzugeben.
Der Angreifer nutzte AnyDesk, um einen Kommunikationskanal zu C2 einzurichten und verschiedene bösartige Skripte und schließlich einen PowerShell-Befehl zu initiieren, um DarkGate mithilfe des legitimen Windows-Automatisierungs- und Skripting-Tools Autoit zu installieren, das von Angreifern zur Verschleierung und Umgehung der Verteidigung bevorzugt wird. Nach der Installation lud der Angriff auch Dateien und einen Registrierungseintrag zur Persistenz.
Ein weiterer Kanal für die Verbreitung von DarkGate-Malware
Obwohl der Angriff letztlich gestoppt wurde, bevor Daten vom Rechner des Opfers exfiltriert werden konnten, zeigt er, dass die DarkGate-Akteure ein weiteres Mittel zur Verbreitung des gefährlichen RAT nutzen und damit zu einer lange Liste der bisher verwendeten Verabreichungsmethoden, so die Forscher.
DarkGate wird seit mindestens 2017 eingesetzt, um Nutzer auf der ganzen Welt anzugreifen, und integriert mehrere unterschiedliche und bösartige Funktionen. Zu seinen Fähigkeiten gehören das Ausführen von Befehlen zum Sammeln von Systeminformationen, das Abbilden von Netzwerken und das Durchsuchen von Verzeichnissen sowie das Starten von Remote Desktop Protocol (RDP), verstecktem virtuellem Netzwerk-Computing, AnyDesk und anderer Fernzugriffssoftware.
DarkGate verfügt außerdem über Funktionen für das Mining von Kryptowährungen, Keylogging, Privilegienerweiterung und den Diebstahl von Informationen aus Browsern und ist sogar dafür bekannt, dass es zusätzliche Nutzdaten enthält, darunter andere RATs wie Remcos.
Wie man sich vor ausgeklügelten Vishing-Angriffen schützt
Vishing-Angriffe werden psychologisch immer ausgefeilter, und die Angreifer haben sogar körperliche Einschüchterung um die Opfer zu zwingen, den Forderungen nachzukommen. Schulung der Mitarbeiter über Anzeichen einer Vishing-Angriffund sich über die neuesten Taktiken auf dem Laufenden zu halten, wird mit der Eskalation dieser Angriffe immer wichtiger.
"Gut informierte Mitarbeiter werden seltener Opfer von Social-Engineering-Angriffen, was die allgemeine Sicherheitslage des Unternehmens stärkt", schreiben die Forscher.
Unternehmen sollten auch "Drittanbieter von technischem Support gründlich überprüfen", um "sicherzustellen, dass alle Behauptungen über die Zugehörigkeit zu einem bestimmten Anbieter direkt überprüft werden, bevor der Fernzugriff auf Unternehmenssysteme gewährt wird", schreiben die Forscher. Darüber hinaus sollten sie Cloud-Überprüfungsprozesse einrichten, um Fernzugriffs-Tools wie AnyDesk zu bewerten und zu genehmigen, um die Einhaltung der Sicherheitsvorschriften und den Ruf des Anbieters zu beurteilen, bevor sie eingesetzt werden.
Durch die Aufnahme zugelassener Fernzugriffs-Tools in die Whitelist und die Blockierung nicht überprüfter Anwendungen sowie die Integration der Multifaktor-Authentifizierung (MFA) in Fernzugriffs-Tools wird auch "das Risiko verringert, dass bösartige Tools verwendet werden, um die Kontrolle über interne Rechner zu erlangen", schreiben die Forscher.
