Dopo Facebook Messenger è il turno di un altro popolare servizio. I ricercatori di Truesec hanno individuato una campagna di phishing contro gli utenti aziendali che usano Microsoft Teams. Lo scopo dei cybercriminali è distribuire il malware DarkGate che può eseguire diverse attività, tra cui accesso remoto, mining di criptovalute e furto di dati.
Phishing contro Microsoft Teams
La campagna è stata avviata a fine agosto. I ricercatori hanno individuato messaggi di phishing inviati agli utenti con Microsoft Teams da due account (esterni alle organizzazioni colpite) compromessi e messi in vendita sul dark web. In allegato al messaggio c’è un archivio ZIP (ospitato su siti SharePoint), all’interno del quale è presente un file LNK mascherato da documento PDF.
Se l’ignara vittima apre il documento viene eseguito uno script VBScript, nascosto nel codice, che scarica DarkGate Loader tramite Windows cURL. Il malware viene quindi caricato in memoria. DarkGate consente di eseguire numerose attività sul computer: accesso remoto con hVNC, mining di criptovalute, registrazione dei tasti (keylogging), lettura della clipboard (appunti) e furto di dati (file, password e altri).
Il malware circola dal 2017, ma finora era stato utilizzato per colpire un numero limitato di target. Circa tre mesi fa, l’autore ha cercato di vendere DarkGate ad una cifra di 100.000 dollari all’anno. Microsoft suggerisce di applicare filtri per bloccare specifici file o l’accesso dall’esterno.