De nieuwe aanvalsmethode komt via een toegangsverzoek in een Microsoft Teams-groepsgesprek om malafide bestanden te verspreiden voor de DarkGate-malware
Daarvoor waarschuwt telecomprovider AT&T. Indien het doelwit het verzoek accepteert, proberen de aanvallers chatdeelnemers te verleiden tot het downloaden van het bestand ‘Navigating Future Changes October 2023.pdf.msi’. Deze dubbele extensie is een gebruikelijke aanpak van de DarkGate-malware. Bovendien maakt het geïnstalleerde bestand verbinding met een command-and-control server die bekend is als behorend tot de DarkGate-infrastructuur.
DarkGate is oorspronkelijk ontwikkeld door cybercriminelen en vervolgens op ondergrondse forums verkocht als malware-as-a-service. Hiermee krijgen afnemers een toolkit om het systeem van een slachtoffer volledig over te nemen. De malware is al sinds 2017 in ontwikkeling en blijft bedrijven wereldwijd achtervolgen.
Risico’s externe gebruikers
Microsoft staat standaard toe dat externe gebruikers toegangsverzoeken kunnen sturen voor vergaderingen, wat bijvoorbeeld nodig kan zijn voor het geven van een presentatie aan een grote groep mensen van buiten de eigen organisatie. AT&T waarschuwt echter bij het ontdekken van deze nieuwe phishing-campagne voor de risico’s van toegangsverzoeken door externe gebruikers. “Tenzij het absoluut noodzakelijk is voor dagelijks zakelijk gebruik, wordt het uitschakelen van externe toegang in Microsoft Teams voor de meeste bedrijven aangeraden, omdat e-mail over het algemeen een veiliger en beter gecontroleerd communicatiekanaal is,” aldus een securityexpert van de telecomprovider.
Tip: Microsoft herhaalt lessen die het zelf bij Russische hack niet had geleerd
21 uur geleden
