La empresa de seguridad Trend Micro recientemente publicó un informe de investigación que indica que han descubierto un malware llamado DarkGate que está siendo utilizado para lanzar ataques de intrusión a través de archivos adjuntos con instrucciones maliciosas, enviados a los objetivos de ataque a través de cuentas de Skype robadas.
Los investigadores de Trend Micro observaron una ola de ataques de DarkGate entre julio y septiembre de 2023; los intrusos utilizaron algún método desconocido para hackear algunas cuentas de Skype y se infiltraron en las conversaciones en curso de esas cuentas, luego cambiaron los nombres de los archivos con contenido malicioso para que coincidieran con el contenido de la conversación antes de enviarlos a los destinatarios.
Los archivos enviados a los destinatarios contenían instrucciones de carga de VBA, que a su vez cargaban una carga útil maliciosa de AutoIT, que se utilizó para cargar y ejecutar la carga útil maliciosa final de DarkGate.
Trend Micro señaló que no está claro cómo se han robado estas cuentas de Skype para enviar malware, y que es posible que provengan de foros de hacking o información de inicio de sesión de usuario vendida en la dark web.
Además, Trend Micro también observó que los intrusos de DarkGate intentaron propagar el malware DarkGate y otros códigos maliciosos de pesca a través de los hilos de conversación de Microsoft Teams, que se utilizan para comunicaciones comerciales; los principales objetivos fueron los grupos de trabajo de Teams abiertos a usuarios externos de la empresa.
Trend Micro señaló que los intrusos estaban utilizando cuentas de usuario externo de Office 365 robadas previamente para lanzar ataques, y estaban utilizando la herramienta de hacking fácilmente disponible TeamsPhisher para saltarse las restricciones de compartir archivos para usuarios externos de Microsoft Teams y enviar archivos de pesca a los usuarios del grupo de discusión.
Se recomienda que las empresas fortalezcan la protección de sus grupos de discusión internos de mensajería, compartiendo documentos, hojas de cálculo o presentaciones relacionadas de la manera más segura posible, evitando compartir archivos directamente y utilizando herramientas de productividad en línea para evitar la ejecución de códigos maliciosos.