Detecção de Ataques de Malware DarkGate: Phishing por Voz via Microsoft Teams Leva à Distribuição de Malware

[post-views]
Dezembro 17, 2024 · 4 min de leitura
Detecção de Ataques de Malware DarkGate: Phishing por Voz via Microsoft Teams Leva à Distribuição de Malware

Pesquisadores descobriram uma nova campanha maliciosa usando phishing por voz (vishing) para espalhar o malware DarkGate. Neste ataque, os adversários se disfarçaram como o cliente conhecido em uma ligação do Microsoft Teams, enganando as vítimas a baixarem o AnyDesk para acesso remoto e posteriormente implantando malware.

Detectar Ataques do Malware DarkGate 

No início do verão de 2024, a técnica de vishing foi usada em ataques cibernéticos seguidos pela distribuição de ferramentas ofensivas, incluindo utilitários remotos. Em dezembro, atores de ameaça aproveitaram novamente a personificação via vishing visando a infecção pelo malware DarkGate. A Plataforma SOC Prime para defesa cibernética coletiva equipa as equipes de segurança com tecnologias e soluções de ponta para superar ameaças cibernéticas, independentemente de sua escala e sofisticação.

Pressione Explorar Detecções para aprofundar na coleção completa de regras Sigma para detecção do malware DarkGate. Beneficie-se de CTI acionável, alinhamento com MITRE ATT&CK e capacidades automatizadas para converter código de detecção no formato de linguagem de consulta necessário, compatível com mais de 30 plataformas de análise de segurança.

Explorar Detecções

Análise do Malware DarkGate: Ataques por Vishing 

Os pesquisadores da Trend Micro investigaram um incidente de cibersegurança em que adversários aplicaram vishing através de uma ligação do Microsoft Teams para se disfarçarem como o cliente do usuário e ganhar acesso remoto ao sistema-alvo. Os atacantes também atraíram as potenciais vítimas para baixar o software de desktop remoto AnyDesk, que foi posteriormente explorado para implantar o malware DarkGate. Entregue por meio de um script AutoIt, o DarkGate facilitou a obtenção de controle remoto do sistema, executando comandos ofensivos, coletando dados do sistema e conectando-se a um servidor C2.

Na fase inicial do ataque, hackers usaram engenharia social para obter acesso ao sistema. A vítima primeiro recebeu milhares de e-mails, seguidos por uma ligação do Microsoft Teams de alguém disfarçado como um fornecedor externo. Os adversários falharam em enganar os usuários-alvo a instalarem um aplicativo de Suporte Remoto da Microsoft, mas conseguiram instruí-los a baixar o AnyDesk via navegador e inserirem suas credenciais. 

Após instalar o AnyDesk, os atacantes foram capazes de operar com privilégios elevados dentro do sistema comprometido e soltaram vários arquivos suspeitos, incluindo a carga útil Trojan.AutoIt.DARKGATE.D. O script de carga útil criptografada AutoIt.a3x descriptografou-se na memória enquanto shellcode e se injetou em processos legítimos, como o MicrosoftEdgeUpdateCore.exe. Este processo serviu como um proxy para carregar e executar o script DarkGate A3x, que então facilitou o carregamento de amostras maliciosas adicionais para as próximas etapas do ataque.

Os adversários também criaram arquivos furtivos e uma entrada de registro na máquina da vítima para estabelecer persistência e evitar detecção. Eles também empregaram DLL side-loading para permanecerem sob o radar. Apesar dos esforços ofensivos, o ataque foi finalizado antes que os adversários pudessem alcançar seus objetivos, sem evidências de exfiltração de dados. 

Como medidas recomendadas de mitigação do malware DarkGate, as equipes são incentivadas a verificar cuidadosamente os provedores de suporte técnico de terceiros e verificar quaisquer afiliações de fornecedores antes de conceder acesso remoto aos sistemas, estabelecer processos de verificação em nuvem para avaliar a segurança e reputação das ferramentas de acesso remoto, listar ferramentas aprovadas, bloquear as suspeitas e implementar MFA para camadas adicionais de proteção de segurança. 

O fluxo de ataque de múltiplas etapas do malware DarkGate destaca a importância de fortes medidas de segurança e maior vigilância cibernética contra ataques de engenharia social. Para abordar a crescente frequência e variedade de campanhas maliciosas usando vishing e outras técnicas adversárias, as empresas podem contar com a linha completa de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça de ameaças automatizada e detecção avançada de ameaças, garantindo ao mesmo tempo uma defesa cibernética de classe mundial.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko