Исследователи Trend Micro выявили атаку с применением социальной инженерии, в ходе которой злоумышленник, выдавая себя за клиента, участвующего в звонке Microsoft Teams, способствовал проникновению вредоносной программы DarkGate.
Описание
Вначале злоумышленник забрасывал жертву тысячами электронных писем, а затем звонил через Teams, выдавая себя за сотрудника известного клиента. Во время звонка злоумышленник попросил жертву загрузить AnyDesk, легитимное приложение для удаленного рабочего стола, после того как ему не удалось установить приложение Microsoft Remote Support. Получив удаленный доступ, злоумышленник загрузил и выполнил несколько вредоносных файлов, включая полезную нагрузку DarkGate.
Вредоносная программа DarkGate распространялась с помощью AutoIt-скрипта, позволяя злоумышленнику выполнять команды, собирать системную информацию и устанавливать соединение с командно-контрольным сервером. Вредоносная программа использовала такие техники, как побочная загрузка DLL и внедрение в процессы, чтобы избежать обнаружения и сохранить свое присутствие на компьютере жертвы. Ключевые системные данные, такие как конфигурация сети и таблицы маршрутизации, перехватывались, а другие файлы и записи в реестре создавались для обеспечения устойчивости вредоносной программы.
Эта атака демонстрирует использование голосового фишинга (vishing), когда злоумышленники используют доверие через голосовые звонки, чтобы заставить жертву предоставить доступ к своей системе. Несмотря на использование передовых методов, эта атака была пресечена до того, как произошла утечка данных.
Indicators of Compromise
SHA256
- 1cbda9a3f202e7aacc57bcf3d43ec7b1ca42564a947d6b5a778df90cddef079a
- 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1
- bb56354cdb241de0051b7bcc7e68099e19cc2f26256af66fad69e3d2bc8a8922
- e4d13af4bfc3effe4f515c2530b1b182e18ad0c0a3dacac4dd80d6edcf0b007a
- faa54f7152775fa6ccaecc2fe4a6696e5b984dfa41db9a622e4d3e0f59c82d8b