Rilevamento dell’attacco malware DarkGate: il phishing vocale tramite Microsoft Teams porta alla distribuzione di malware

I ricercatori hanno scoperto una nuova campagna dannosa che utilizza il phishing vocale (vishing) per diffondere il malware DarkGate. In questo attacco, gli avversari si mascheravano da noto cliente durante una chiamata su Microsoft Teams, ingannando le vittime a scaricare AnyDesk per l’accesso remoto e distribuzione del malware. 

Rilevare Attacchi Malware DarkGate 

All’inizio dell’estate del 2024, la tecnica di vishing è stata utilizzata in attacchi informatici seguiti dalla distribuzione di strumenti offensivi, compresi quelli remoti. A dicembre, gli attori della minaccia hanno sfruttato nuovamente l’impersonificazione attraverso il vishing con l’obiettivo di infettare con il malware DarkGate. La piattaforma SOC Prime per la difesa cibernetica collettiva dota i team di sicurezza di tecnologie e soluzioni all’avanguardia per superare le minacce informatiche, indipendentemente dalla loro scala e sofisticazione. 

Premi Esplora Rilevamenti per approfondire la raccolta completa di regole Sigma per il rilevamento del malware DarkGate. Approfitta di CTI azionabili, allineamento MITRE ATT&CK, e capacità automatizzate per convertire il codice di rilevamento nel formato di linguaggio di query richiesto da oltre 30 piattaforme di analisi della sicurezza. 

Esplora Rilevamenti

Analisi Malware DarkGate: Attacchi Vishing 

I ricercatori di Trend Micro hanno indagato su un incidente di sicurezza informatica in cui gli avversari hanno applicato il vishing tramite una chiamata su Microsoft Teams per mascherarsi come clienti degli utenti e ottenere accesso remoto al sistema preso di mira. Gli aggressori hanno anche attirato le potenziali vittime a scaricare il software di desktop remoto AnyDesk, che è stato ulteriormente sfruttato per distribuire il malware DarkGate. Fornito tramite uno script AutoIt, DarkGate ha facilitato l’acquisizione del controllo remoto del sistema, l’esecuzione di comandi offensivi, la raccolta di dati del sistema e la connessione a un server C2. 

Nel primo stadio dell’attacco, gli hacker hanno sfruttato l’ingegneria sociale per ottenere l’accesso al sistema. La vittima ha inizialmente ricevuto migliaia di email, seguite da una chiamata su Microsoft Teams da parte di chi si spacciava per un forniture esterno. Gli avversari non sono riusciti a ingannare gli utenti presi di mira a installare un’app di supporto remoto di Microsoft, ma li hanno istruiti con successo a scaricare AnyDesk tramite un browser e a inserire le proprie credenziali. 

Dopo l’installazione di AnyDesk, gli aggressori erano in grado di operare con privilegi elevati all’interno del sistema compromesso e hanno inserito diversi file sospetti, incluso il payload Trojan.AutoIt.DARKGATE.D. Lo script payload AutoIt crittografato .a3x si è decrittografato in memoria come shellcode e si è iniettato in processi legittimi, come MicrosoftEdgeUpdateCore.exe. Questo processo ha servito come proxy per caricare ed eseguire lo script DarkGate A3x, che ha poi facilitato il caricamento di campioni dannosi aggiuntivi per le fasi successive dell’attacco.

Gli avversari hanno anche creato file furtivi e una voce nel registro sul computer della vittima per stabilire la persistenza ed evitare il rilevamento. Hanno anche impiegato il DLL side-loading per rimanere inosservati. Nonostante gli sforzi offensivi, l’attacco è stato terminato prima che gli avversari potessero raggiungere i loro obiettivi, senza alcuna prova di esfiltrazione dei dati. 

Come misure raccomandate di mitigazione del malware DarkGate, i team sono incoraggiati a valutare attentamente i fornitori di supporto tecnico di terze parti e a verificare qualsiasi affiliazione del fornitore prima di concedere l’accesso remoto ai sistemi, stabilire processi di verifica cloud per valutare la sicurezza e la reputazione degli strumenti di accesso remoto, inserire nella lista bianca gli strumenti approvati, bloccare quelli sospetti, e implementare MFA per ulteriori livelli di protezione della sicurezza. 

Il flusso di attacco del malware DarkGate a più stadi evidenzia l’importanza di misure di sicurezza solide e una maggiore vigilanza informatica contro gli attacchi di ingegneria sociale. Per affrontare la crescente frequenza e varietà di campagne dannose che utilizzano il vishing e altre tecniche avversarie, le imprese possono affidarsi alla suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento alimentato dall’AI, la caccia automatizzata alle minacce e il rilevamento avanzato, assicurando al contempo una difesa informatica di alto livello.