Bill Toulas
Una nueva campaña de phishing está abusando de los mensajes de Microsoft Teams para enviar archivos maliciosos que instalan el malware DarkGate Loader.
La campaña comenzó a finales de agosto de 2023, cuando se observaron mensajes de phishing de Microsoft Teams siendo enviados por dos cuentas externas comprometidas de Office 365 a otras organizaciones.
Estas cuentas se emplearon para engañar a otros usuarios de Microsoft Teams y hacer que descargaran y abrieran un archivo ZIP llamado «Cambios en el horario de vacaciones».
Hacer clic en el archivo adjunto provoca la descarga de un archivo ZIP desde una URL de SharePoint y contiene un archivo LNK que se hace pasar por un documento PDF.
Los investigadores de Truesec analizaron la campaña de phishing de Microsoft Teams y descubrieron que contiene un VBScript malicioso que desencadena la cadena de infección que lleva a una carga identificada como DarkGate Loader.
Para intentar evadir la detección, el proceso de descarga utiliza Windows cURL para obtener los archivos ejecutables y de script del malware.
El script llegó precompilado, ocultando su código malicioso en medio del archivo, comenzando con «bytes mágicos» distinguibles asociados con scripts de AutoIT.
Antes de continuar, el script verifica si el software antivirus Sophos está instalado en la máquina objetivo, y si no lo está, desofusca código adicional y lanza el código de la cáscara (shellcode).
El shellcode utiliza una técnica llamada «cadenas apiladas» para construir el ejecutable de Windows DarkGate y cargarlo en la memoria.
Phishing en Microsoft Teams
La campaña observada por Truesec y Deutsche Telekom CERT utiliza cuentas comprometidas de Microsoft Teams para enviar archivos maliciosos a otras organizaciones de Teams.
El phishing en Microsoft Teams ya se había demostrado anteriormente en un informe de junio de 2023 realizado por Jumpsec, quienes descubrieron una forma de enviar mensajes maliciosos a otras organizaciones a través de la ingeniería social y el phishing, lo cual es similar a lo que vemos en el ataque reportado.
A pesar del revuelo causado por este descubrimiento, Microsoft decidió no abordar el riesgo. En cambio, recomienda a los administradores aplicar configuraciones seguras, como listas de permitidos de alcance estrecho y desactivar el acceso externo si no es necesario comunicarse con inquilinos externos.
En julio de 2023, un Red Teamer lanzó una herramienta que simplificó este ataque de phishing en Microsoft Teams, aumentando aún más la probabilidad de que sea utilizado de manera maliciosa en el mundo real.
Sin embargo, no hay indicación de que este método esté involucrado en la cadena de ataque de la campaña recientemente observada.
DarkGate al descubierto
DarkGate ha estado circulando desde 2017 y ha visto un uso limitado por un pequeño grupo de ciberdelincuentes que lo utilizaron contra objetivos muy específicos.
Es un malware potente que admite una amplia gama de actividades maliciosas, incluyendo hVNC para acceso remoto, minería de criptomonedas, shell inverso, registro de pulsaciones de teclas, robo de portapapeles y robo de información (archivos, datos de navegación).
En junio de 2023, ZeroFox informó que alguien que afirmaba ser el autor original de DarkGate intentó vender acceso al malware a diez personas por un costo absurdo de $100,000 al año.
En los meses siguientes, ha habido múltiples informes de un aumento en la distribución de DarkGate y el uso de varios canales, incluyendo el phishing y el malvertising.
Si bien DarkGate puede que aún no sea una amenaza generalizada, su creciente alcance y la adopción de múltiples vías de infección lo convierten en una amenaza emergente que debe ser monitoreada de cerca.
