De DarkGate-malware valt niet alleen Skype-accounts aan, maar verspreidt zich ook via getroffen Microsoft Teams-accounts.
Tussen juli en september van dit jaar zijn Skype-accounts het doelwit geweest van aanvallen met de DarkGate-malware, ontdekte Trend Micro. Deze malware maakt het mogelijk ransomware te verspreiden, maar ook kwaadaardige payloads die zich op cryptomining richten.
Getroffen Skype-accounts worden geïnfecteerd via berichten die VBA loader script attachments bevatten. Deze scripts downloaden een ‘second-stage’ AutoIT script die uiteindelijk de DarkGate-malware payload downloadt en uitvoert.
Hackers slaagden er zo in de complete messaging thread van een Skype-account over te nemen en vervolgens (kwaadaardige) bestanden te maken die gerelateerd waren aan de discussie in de berichtenthread. De Skype-accounts waren mogelijk aangevallen via gelekte inloggegevens.
Ook Microsoft Teams kwetsbaar
Niet alleen Skype fungeert als toegangspad voor de hackers, die door Trend Micro aan de Black Basta ransomwarebende worden gelieerd, ook Microsoft Teams is kwetsbaar voor DarkGate-malware.
Teams is vooral kwetsbaar als het Microsoft-platform het ontvangen van berichten van externe gebruikers toestaat, ontdekten ook Truesec en MalwareBytes. Teams-accounts werden aangevallen via gecompromitteerde Office 365-accounts van buiten bedrijven en via een vrij verkrijgbaar TeamPhiser-tool.
Met deze tool kunnen hackers restricties voor binnenkomende bestanden van externe gebruikers omzeilen en phishing attachments naar Teams-gebruikers versturen.
Het gebruik van de DarkGate-malware wordt volgens onderzoekers steeds populairder, vooral na het offline halen van Qakbot-netwerk. Jaarabonnementen op de malware-as-a-servicedienst kosten op het darkweb ongeveer 100.000 dollar per stuk.
Lees ook: Honderdduizenden mailservers kwetsbaar door bug in Exim (update)
1 dag geleden
