Secondo AT&T Cybersecurity research, il malware DarkGate torna a destare preoccupazione. Nuovi attacchi di phishing sfruttano le richieste di chat di gruppo su Microsoft Teams per inviare allegati malevoli che installano payload sui sistemi delle vittime.
“Il malware DarkGate risale al 2017 e commercializzato come MaaS (Malware-as-a-Service)”, commenta Paolo Passeri, Cyber Intelligence Principal di Netskope:”La campagna ha recentemente fatto notizia dopo la scoperta nei gruppi chat di Microsoft Teams, che conta 280 milioni di utenti al mese“.
Ecco come proteggersi.
Indice degli argomenti
Malware DarkGate: come proteggersi dal phishing che si diffonde su Microsoft Teams
Gli aggressori hanno utilizzato quello che sembra un utente (o un dominio) Teams compromesso per inviare oltre mille inviti malevoli alla chat di gruppo Teams.
“Mentre il DarkGate Loader è stato originariamente distribuito tramite email di phishing”, osserva Paolo Passeri, “l’anno scorso gli attaccanti hanno evoluto la loro metodologia di attacco e hanno iniziato a sfruttare diversi servizi cloud per la distribuzione. Questa non è la prima volta che è attivo in Microsoft Teams: nell’agosto dello scorso anno DarkGate ha utilizzato Teams per distribuire il suo payload (che era ospitato su un sito Microsoft SharePoint)”.
Quando gli obiettivi accettano la richiesta di chat, gli attori delle minacce li ingannano, in modo tale da indurli a scaricare un file con una doppia estensione denominato “Navigating Future Changes October 2023.pdf.msi”. Si tratta di una tattica comune del DarkGate.
Una volta installato, il malware si collega al suo server di comando e controllo all’indirizzo hgfdytrywq[.]com. Palo Alto Networks ha, infatti, confermato che fa parte dell’infrastruttura del malware DarkGate.
Lo sviluppatore di DarkGate ha dichiarato che include molte funzionalità, come un VNC nascosto, strumenti per aggirare Windows Defender, uno strumento per il furto della cronologia del browser, un reverse proxy integrato, un file manager e un token stealer Discord.
Sempre più applicazioni cloud nella kill chain
Tuttavia, l’aspetto importante da notare è che “quest’ultimo sviluppo è completamente in linea con la tendenza più ampia degli autori delle minacce che utilizzano applicazioni cloud in più punti all’interno della kill chain del loro attacco“, mette in guardia Paolo Passeri: “Le applicazioni cloud permettono di avere un payload malevolo flessibile e un’infrastruttura cloud flessibile per distribuirlo“.
Secondo Netskope, infatti, “il 46% del malware è stato distribuito dal cloud nel mese di dicembre 2023“, ricorda Paolo Passeri, “quindi non sorprende che gli autori delle minacce cerchino costantemente una catena di attacchi sempre più complessa in cui più servizi legittimi sono concatenati con l’unico scopo di indurre le vittime a scaricare il payload malevolo e per eludere le tecnologie di sicurezza legacy web (ed email) che non sono in grado di riconoscere le istanze, non sono adatte a ispezionare il traffico SSL su larga scala e quindi cieche rispetto al contesto“.
Come proteggersi
Il consiglio numero uno è mettere in sicurezza Teams.
Questo attacco di phishing è possibile anche perché Microsoft consente agli utenti esterni di Microsoft Teams di inviare messaggi ad altri utenti, come impostazione predefinita.
“A meno che non sia assolutamente necessario per l’uso aziendale quotidiano, disabilitare l’accesso esterno in Microsoft Teams è consigliabile per la maggior parte delle aziende, in quanto l’email è generalmente un canale di comunicazione più sicuro e più strettamente sotto monitoraggio”, ha avvertito Peter Boyle, ingegnere di sicurezza di rete di AT&T Cybersecurity.
Inoltre, servono maggiore consapevolezza e formazione. “Come sempre, gli utenti finali dovrebbero ricevere formazione oltre a prestare attenzione alla provenienza dei messaggi non richiesti. Dovrebbero ricordarsi che il phishing può assumere molte forme oltre alla tipica email“, continua Peter Boyle.
Infine, “le organizzazioni devono garantire che la sicurezza del cloud sia in cima alla lista delle priorità tattiche della strategia di sicurezza per il 2024″, conclude Paolo Passeri: infatti, “gli attaccanti continueranno a trarre vantaggio da lacune di sicurezza”.
