Seguir 
Pesquisadores descobriram uma nova campanha maliciosa usando phishing por voz (vishing) para espalhar o malware DarkGate. Neste ataque, os adversários se disfarçaram como o cliente conhecido em uma ligação do Microsoft Teams, enganando as vítimas a baixarem o AnyDesk para acesso remoto e posteriormente implantando malware.
Detectar Ataques do Malware DarkGate
No início do verão de 2024, a técnica de vishing foi usada em ataques cibernéticos seguidos pela distribuição de ferramentas ofensivas, incluindo utilitários remotos. Em dezembro, atores de ameaça aproveitaram novamente a personificação via vishing visando a infecção pelo malware DarkGate. A Plataforma SOC Prime para defesa cibernética coletiva equipa as equipes de segurança com tecnologias e soluções de ponta para superar ameaças cibernéticas, independentemente de sua escala e sofisticação.
Pressione Explorar Detecções para aprofundar na coleção completa de regras Sigma para detecção do malware DarkGate. Beneficie-se de CTI acionável, alinhamento com MITRE ATT&CK e capacidades automatizadas para converter código de detecção no formato de linguagem de consulta necessário, compatível com mais de 30 plataformas de análise de segurança.
Análise do Malware DarkGate: Ataques por Vishing
Os pesquisadores da Trend Micro investigaram um incidente de cibersegurança em que adversários aplicaram vishing através de uma ligação do Microsoft Teams para se disfarçarem como o cliente do usuário e ganhar acesso remoto ao sistema-alvo. Os atacantes também atraíram as potenciais vítimas para baixar o software de desktop remoto AnyDesk, que foi posteriormente explorado para implantar o malware DarkGate. Entregue por meio de um script AutoIt, o DarkGate facilitou a obtenção de controle remoto do sistema, executando comandos ofensivos, coletando dados do sistema e conectando-se a um servidor C2.
Na fase inicial do ataque, hackers usaram engenharia social para obter acesso ao sistema. A vítima primeiro recebeu milhares de e-mails, seguidos por uma ligação do Microsoft Teams de alguém disfarçado como um fornecedor externo. Os adversários falharam em enganar os usuários-alvo a instalarem um aplicativo de Suporte Remoto da Microsoft, mas conseguiram instruí-los a baixar o AnyDesk via navegador e inserirem suas credenciais.
Após instalar o AnyDesk, os atacantes foram capazes de operar com privilégios elevados dentro do sistema comprometido e soltaram vários arquivos suspeitos, incluindo a carga útil Trojan.AutoIt.DARKGATE.D. O script de carga útil criptografada AutoIt.a3x descriptografou-se na memória enquanto shellcode e se injetou em processos legítimos, como o MicrosoftEdgeUpdateCore.exe. Este processo serviu como um proxy para carregar e executar o script DarkGate A3x, que então facilitou o carregamento de amostras maliciosas adicionais para as próximas etapas do ataque.
Os adversários também criaram arquivos furtivos e uma entrada de registro na máquina da vítima para estabelecer persistência e evitar detecção. Eles também empregaram DLL side-loading para permanecerem sob o radar. Apesar dos esforços ofensivos, o ataque foi finalizado antes que os adversários pudessem alcançar seus objetivos, sem evidências de exfiltração de dados.
Como medidas recomendadas de mitigação do malware DarkGate, as equipes são incentivadas a verificar cuidadosamente os provedores de suporte técnico de terceiros e verificar quaisquer afiliações de fornecedores antes de conceder acesso remoto aos sistemas, estabelecer processos de verificação em nuvem para avaliar a segurança e reputação das ferramentas de acesso remoto, listar ferramentas aprovadas, bloquear as suspeitas e implementar MFA para camadas adicionais de proteção de segurança.
O fluxo de ataque de múltiplas etapas do malware DarkGate destaca a importância de fortes medidas de segurança e maior vigilância cibernética contra ataques de engenharia social. Para abordar a crescente frequência e variedade de campanhas maliciosas usando vishing e outras técnicas adversárias, as empresas podem contar com a linha completa de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça de ameaças automatizada e detecção avançada de ameaças, garantindo ao mesmo tempo uma defesa cibernética de classe mundial.
