Эксперты предупредили Команды Майкрософт сообщения используются в качестве вектора для новой фишинговой кампании, призванной обманом заставить пользователей загрузить вложение, содержащее вредоносное ПО.
Было обнаружено, что вредоносные сообщения отправляются из нескольких скомпрометированных учетных записей Office 365, содержащих ZIP-файл под названием «изменения графика отпусков».
Нажав на нее, вы загрузите файл с URL-адреса SharePoint. Внутри сжатого файла находится нечто, похожее на PDF-файл, но на самом деле это файл LNK, который сам содержит опасный VBScript, который приводит к установке вредоносного ПО, известного как DarkGate.
ДаркГейт
Фирма кибербезопасности Трусек начал расследование по факту фишинг кампании и обнаружил, что при загрузке используется Windows cURL для получения кода вредоносного ПО, при этом сценарий предварительно компилируется, а опасные элементы скрываются в середине файла, чтобы избежать обнаружения.
Скрипт также проверяет, популярен ли антивирус Решение Sophos устанавливается на конечной точке жертвы. Если это не так, то дополнительный код демаскируется и запускается шеллкод, который запускает исполняемый файл DarkGate и загружает его в системную память.
Это не первый раз Майкрософт Сообщения Teams стали поводом для беспокойства. Недавно ошибка была найдена что позволяло получать сообщения от внешних учетных записей в почтовый ящик организации, чего не должно было происходить. Похоже, что новая кампания DarkGate использует этот недостаток.
Microsoft не устранила этот недостаток напрямую; все, что он сделал, — это рекомендовал организациям составить списки разрешенных в Teams, чтобы только определенные внешние организации могли с ними общаться, или вообще отключить внешние коммуникации.
DarkGate существует с 2017 года, но его использование ограничено лишь горсткой киберпреступников против конкретных целей. Это мощный и всеобъемлющий инструмент, способный красть файлы, данные браузера и содержимое буфера обмена, а также осуществлять криптомайнинг, кейлоггинг и удаленное управление конечными точками.
Больше от TechRadar Pro
2023-09-11 16:31:22
1694457443
#Остерегайтесь #эта #коварная #фишинговая #кампания #Microsoft #Teams #может #заразить #ваш #компьютер
