Wykorzystanie Microsoft Teams oraz AnyDesk do dystrybucji złośliwego oprogramowania DarkGate. Najpopularniejsze rodzaje ataków w Internecie

Poniżej opisane ataki pokazują, jak cyberprzestępcy adaptują popularne narzędzia komunikacyjne do nielegalnych celów, a także, jak ważna jest świadomość zagrożeń związanych z inżynierią społeczną, szczególnie w kontekście pracy zdalnej i używania aplikacji do komunikacji online.

Od czego rozpoczyna się atak przez Teams?

W tej kampanii, jak niedawno opisał Rapid7, napastnicy rozpoczynają atak od masowego wysyłania tysięcy wiadomości e-mail do potencjalnych ofiar.

„Napastnicy użyli inżynierii społecznej przez połączenie Microsoft Teams, aby podszyć się pod klienta ofiary i zdobyć zdalny dostęp do jej systemu” – wyjaśniają badacze z Trend Micro: Catherine Loveria, Jovit Samaniego i Gabriel Nicoleta.

„Chociaż atakujący nie zainstalowali aplikacji Microsoft Remote Support, udało im się skutecznie nakłonić ofiarę do pobrania AnyDesk, popularnego narzędzia do zdalnego dostępu, które następnie wykorzystano do przejęcia kontroli nad systemem”.

Po wzbudzeniu zainteresowania kontaktują się z ofiarami za pośrednictwem Microsoft Teams, podszywając się pod pracownika zewnętrznego dostawcy lub klienta, a następnie kierują rozmówców do pobrania i zainstalowania narzędzia AnyDesk. Dzięki niemu mogą uzyskać pełny dostęp do zainfekowanego urządzenia, co umożliwia zainstalowanie złośliwego oprogramowania DarkGate. Pozwala ono na dalszą eksfiltrację danych i wprowadzenie kolejnych etapów ataku.

Kilka słów o DarkGate

DarkGate, aktywnie wykorzystywane w środowisku cyberzagrożeń od 2018 roku, to zaawansowany trojan zdalnego dostępu (RAT), który ewoluował w model złośliwego oprogramowania jako usługi (MaaS), kierując swoją ofertę do ściśle wyselekcjonowanej grupy klientów. Oprogramowanie to dysponuje szerokim zakresem funkcji, w tym kradzieżą poświadczeń, rejestrowaniem naciśnięć klawiszy, przechwytywaniem zrzutów ekranu, nagrywaniem dźwięku, a także możliwością zdalnego kontrolowania pulpitu ofiary.

Analiza kampanii wykorzystujących DarkGate w ciągu ostatniego roku wskazuje, że trojan jest dystrybuowany głównie za pośrednictwem dwóch łańcuchów ataków, które wykorzystują skrypty AutoIt i AutoHotKey. W przypadku incydentu badanego przez Trend Micro złośliwe oprogramowanie zostało wdrożone przy użyciu skryptu AutoIt.

Chociaż atak został zablokowany na wczesnym etapie, zanim mogło dojść do eksfiltracji danych, incydent ten stanowi przykład, jak cyberprzestępcy wykorzystują różnorodne metody początkowego dostępu do rozprzestrzeniania złośliwego oprogramowania.

Eksperci zalecają organizacjom wdrożenie kilku kluczowych środków bezpieczeństwa, w tym: włączenie uwierzytelniania wieloskładnikowego (MFA), ograniczenie dozwolonych narzędzi dostępu zdalnego do zatwierdzonych aplikacji, blokowanie niezweryfikowanych aplikacji oraz dokładną weryfikację zewnętrznych dostawców wsparcia technicznego, aby zminimalizować ryzyko ataków phishingowych i vishingowych.

Najpopularniejsze ataki w Internecie. Na co warto obecnie uważać i jak się chronić?

Poniżej zebraliśmy najpopularniejsze obecnie ataki, w ramach których przestępcy stosują różne techniki i przynęty, aby oszukać ofiary i zmusić je do ujawnienia swoich danych.

YouTube

Jednym z przykładów jest zakrojona na dużą skalę kampania phishingowa, skierowana do twórców treści na YouTube. W tym przypadku cyberprzestępcy podszywają się pod popularne marki i kontaktują się z twórcami za pośrednictwem e-maili, oferując potencjalne promocje, propozycje partnerstwa i współpracy marketingowej. Następnie nakłaniają ich do kliknięcia w link mający prowadzić do podpisania umowy, co skutkuje zainstalowaniem złośliwego oprogramowania Lumma Stealer. Adresy e-mail twórców są pozyskiwane za pomocą specjalnych parserów, które przeszukują kanały YouTube.

Quishing

Inną techniką jest kampania „quishingowa”, w której atakujący wysyłają wiadomości phishingowe z załącznikiem PDF zawierającym kod QR. Po zeskanowaniu kodu ofiary zostają przekierowane na fałszywą stronę logowania do Microsoft 365, gdzie ich dane uwierzytelniające są zbierane przez cyberprzestępców.

Fałszywe strony logowania

Kolejną formą ataku phishingowego jest wykorzystywanie zaufania do platform takich jak Cloudflare Pages i Workers w celu tworzenia fałszywych stron logowania do Microsoft 365. Strony imitują również fałszywe mechanizmy weryfikacji CAPTCHA, które mają rzekomo umożliwić użytkownikowi pobranie lub przeglądanie dokumentu. Inne ataki phishingowe stosują załączniki HTML, które wyglądają jak legalne dokumenty, np. faktury czy zasady HR, ale zawierają osadzony kod JavaScript, mogący wykonywać złośliwe operacje, jak przekierowywanie użytkowników na strony phishingowe lub zbieranie danych uwierzytelniających. Ponadto mogą one oszukiwać użytkowników, nakłaniając ich do uruchamiania poleceń pod pretekstem naprawy błędów (np. za pomocą narzędzia „ClickFix”).

Docusign, Adobe InDesign i AMP

Phishingowe kampanie e-mailowe coraz częściej wykorzystują również zaufane platformy takie jak Docusign, Adobe InDesign czy Google Accelerated Mobile Pages (AMP), aby nakłonić użytkowników do kliknięcia w złośliwe linki, mające na celu zebranie danych logowania.

Okta

Zdarzają się też próby phishingowe, w ramach których hakerzy podszywają się pod zespół wsparcia Okta, mając na celu pozyskanie danych uwierzytelniających użytkowników i kompromitację systemów organizacji.

WhatsApp

Cyberprzestępcy nagminnie wysyłają też wiadomości phishingowe za pośrednictwem WhatsAppa, nakłaniając odbiorców do zainstalowania złośliwej aplikacji bankowej lub narzędziowej na urządzeniach z systemem Android. Mają one na celu kradzież informacji finansowych.

Co więcej, cyberprzestępcy szybko wykorzystują globalne wydarzenia, takie jak mistrzostwa sportowe czy premiery produktów, aby manipulować ofiarami. Wykorzystując emocjonalne reakcje i poczucie pilności, przestępcy zachęcają ofiary do wykonania niezamierzonych działań, takich jak kliknięcie w złośliwy link lub ujawnienie danych. Aby ułatwić te ataki, rejestrują oni domeny z nazwami zawierającymi słowa kluczowe związane z bieżącymi wydarzeniami.

Aby zminimalizować ryzyko, zespoły ds. bezpieczeństwa powinny monitorować kluczowe wskaźniki, takie jak rejestracje domen, wzorce tekstowe, anomalie DNS czy zmiany w zapytaniach, co pozwala na wczesne wykrycie zagrożeń i ich skuteczne neutralizowanie.