I criminali informatici hanno utilizzato i messaggi di Microsoft Teams in una nuova campagna di phishing volta a indurre gli utenti a scaricare allegati infetti da malware.
Microsoft Teams è appena stato oggetto di una nuova campagna di phishing. Questo problema è stato identificato per la prima volta alla fine di agosto del 2023, quando messaggi dannosi di Microsoft Teams, provenienti da due account Office 365 compromessi, hanno iniziato a circolare tra diverse organizzazioni. Questi messaggi hanno indotto i destinatari a scaricare un file ZIP apparentemente innocuo, intitolato in modo allettante “Modifiche al programma delle festività”. Recentemente, anche Google Docs, Slide e Looker Studio hanno dovuto affrontare problemi di phishing simili.
Le vittime ignare che hanno fatto clic su questo allegato hanno quindi iniziato a scaricare il file ZIP da un URL di SharePoint. Tuttavia, quello che sembrava un innocuo file PDF nello ZIP era in realtà un file LNK contenente un pericoloso VBScript. Questo script ha portato all’installazione di un noto ceppo di malware noto come DarkGate.
COS’È DARKGATE, QUESTO NUOVO MALWARE PERICOLOSO?
DarkGate, il malware al centro di questa campagna, esiste dal 2017. Tuttavia, in precedenza il suo utilizzo era limitato a una ristretta cerchia di criminali informatici che prendevano di mira vittime specifiche. DarkGate è un malware potente e poliedrico capace di una serie di attività dannose, tra cui l’accesso remoto tramite hVNC, mining di criptovaluta, attacchi di shell inversa, keylogging, furto di dati negli appunti ed esfiltrazione di informazioni sensibili, inclusi file e dati di navigazione.
L’indagine condotta dalla società di sicurezza informatica Truesec ha rivelato che il processo di download utilizzava ingegnosamente il cURL di Windows per recuperare il codice del malware. Il VBScript è stato precompilato e i suoi componenti dannosi sono stati abilmente nascosti all’interno del file, rendendone più difficile il rilevamento da parte dei sistemi di sicurezza.
Questa non è la prima volta che i messaggi di Microsoft Teams sono implicati in problemi di sicurezza. Recentemente è stata scoperta una vulnerabilità che consentiva ai messaggi provenienti da account esterni di infiltrarsi nella casella di posta di un’organizzazione, cosa che non dovrebbe accadere. Sembra che anche la campagna DarkGate abbia sfruttato questa vulnerabilità.