Les pirates envoient des logiciels malveillants via des messages Microsoft Teams apparemment innocents
Les pirates informatiques sont devenus si sophistiqués avec les logiciels malveillants qu'ils font ressembler les liens à des avis concernant les vacances de l'entreprise.
Une nouvelle escroquerie de phishing appelée « DarkGate Loader » a été découverte et cible Microsoft Teams. Il peut être identifié par un message et un lien indiquant « modifications du calendrier des vacances ». Cliquer sur ce lien et accéder aux fichiers .ZIP correspondants peut vous rendre vulnérable aux logiciels malveillants qui y sont attachés.
L'équipe de recherche Truesec observe DarkGate Loader depuis fin août et note que les pirates ont utilisé un processus de téléchargement complexe qui rend le fichier difficile à identifier comme étant néfaste.
Les pirates ont pu utiliser des comptes Office 365 compromis pour envoyer le message infecté par un logiciel malveillant avec le lien « modifications du calendrier des vacances » via Microsoft Teams. Truesec a trouvé les comptes qui ont été récupérés par les pirates pour envoyer le malware DarkGate Loader. Il s'agit notamment de « Akkaravit Tattamanas » ([email protected]) et « ABNER DAVID RIVERA ROJAS » ([email protected]).
Le malware comprend un VBScript infecté caché dans un LNK (un raccourci Windows). L'équipe de recherche note que l'attaque est astucieuse en raison de son URL SharePoint, ce qui rend difficile pour les utilisateurs de réaliser qu'il s'agit d'un fichier contesté. Le type de script Windows cURL précompilé rend également le code plus difficile à identifier car le code est caché au milieu du fichier.
Le script est capable de déterminer si l'utilisateur a installé l'antivirus Sophos. Dans le cas contraire, le malware peut injecter du code supplémentaire, dans le cadre d'une attaque appelée « chaînes empilées », qui ouvre un shellcode qui crée un exécutable DarkGate qui se charge dans la mémoire du système, a ajouté l'équipe.
DarkGate Loader n'est pas la seule escroquerie de phishing qui a sévi dans les équipes Microsoft cet été. Un groupe de pirates informatiques russes appelé Midnight Blizzard a pu utiliser un exploit d'ingénierie sociale pour attaquer environ 40 organisations en août. Les pirates ont utilisé des comptes Microsoft 365 appartenant à de petites entreprises déjà contestées et se sont fait passer pour un support technique afin de mener des attaques. Microsoft a depuis résolu le problème, selon Windows Central .
L'automne dernier, une tendance courante a été celle des campagnes de compromission des e-mails professionnels (BEC) , qui sont des escroqueries par phishing dans lesquelles un acteur néfaste, déguisé en chef d'entreprise, envoie un e-mail qui ressemble à une chaîne d'e-mails transférés, avec des instructions à un employé pour envoyer de l'argent.
Un autre exploit tristement célèbre était la vulnérabilité Zero Day de Windows Follina . Les chercheurs l'ont découvert au printemps de l'année dernière et ont déterminé qu'il permettait aux pirates d'accéder à l'outil de diagnostic du support Microsoft couramment associé à Microsoft Office et Microsoft Word.