Il malware DarkGate è stato oggetto di numerose attenzioni negli ultimi tempi, grazie alla sua capacità di essere distribuito attraverso diversi canali, tra cui Microsoft Teams. Questo articolo esplora come gli attacchi di vishing utilizzano Microsoft Teams per diffondere il malware DarkGate, fornendo anche suggerimenti e consigli per mitigare questi rischi.
Il malware DarkGate
Il malware DarkGate è un carico di carico modulare che include capacità di download e esecuzione di file nativi, furto di informazioni, accesso e controllo remoto, keylogging e escalation di privilegi. Può essere utilizzato per distribuire payload secondari come ransomware, bot, minatori di criptovalute e altro ancora.
Vishing via Microsoft Teams
Il vishing (voice phishing) è una tecnica di ingegneria sociale che utilizza chiamate telefoniche o comunicazioni vocali per truffare le vittime. In questo caso, gli attacchi di vishing via Microsoft Teams sono particolarmente pericolosi perché possono sfruttare la fiducia delle persone nei confronti delle comunicazioni aziendali.
Come funziona l’attacco
- Iniziale Accesso: Gli attaccanti utilizzano Microsoft Teams per inviare messaggi apparentemente legittimi a destinatari aziendali. Questi messaggi possono contenere file con estensioni doppi, come ad esempio “Navigating Future Changes October 2023.pdf.msi”, che sembrano innocui ma in realtà contengono il malware.
- Download del File: Una volta che la vittima accetta il messaggio e scarica il file, il malware viene eseguito. Il file può essere un payload che raggiunge un server di comando e controllo (C2) per ricevere ulteriori istruzioni.
- Esecuzione del Malware: Il malware può creare file persistenti e registri sul sistema della vittima, permettendo agli attaccanti di mantenere il controllo sul sistema. In alcuni casi, il malware può anche utilizzare tool come AnyDesk o AutoIt per ottenere accesso remoto e eseguire comandi malici.
Esempi di Attacchi
- Forescout Attacco: Nel settembre 2023, Forescout fu oggetto di un attacco di phishing molto personalizzato che utilizzava la funzionalità di Microsoft Teams per distribuire il malware DarkGate. L’attacco fu rapidamente intercettato dall’équipe di sicurezza grazie alla formazione regolare dei dipendenti.
- Attacchi di Gruppo: Nel gennaio 2024, gli attaccanti utilizzarono un utente Teams compromesso (o dominio) per inviare oltre 1.000 richieste di chat Teams maliziose. Queste richieste contenevano file con estensioni doppi che installavano payload del malware DarkGate.
Mitigazione degli Attacchi
Per proteggersi dagli attacchi di vishing via Microsoft Teams, le organizzazioni possono adottare le seguenti misure:
- Disabilitazione dell’Accesso Esterno: Disabilitare l’accesso esterno in Microsoft Teams è consigliato, poiché questo riduce la possibilità di ricevere messaggi da utenti esterni. L’email è generalmente un canale più sicuro e meglio monitorato.
- Formazione degli Utenti: I dipendenti dovrebbero essere formati a riconoscere e evitare i messaggi non richiesti, specialmente quelli che sembrano legittimi ma contengono estensioni doppi. La formazione dovrebbe includere anche le diverse forme di phishing, non solo quelle via email.
- Monitoraggio Continuo: Implementare un sistema di monitoraggio continuo per rilevare e analizzare i comportamenti anomali dei sistemi. Tool come Trend Micro Vision One possono aiutare a rilevare la presenza di AutoIt3 e script malici.
- Configurazione Organizzativa: Le organizzazioni dovrebbero configurare le impostazioni di sicurezza di Microsoft Teams in modo da limitare l’accesso a utenti esterni e aumentare la visibilità delle comunicazioni interne.
- Consapevolezza Aziendale: Aumentare la consapevolezza aziendale riguardo agli attacchi di vishing e phishing è fondamentale. Le organizzazioni dovrebbero promuovere una cultura di sicurezza che incoraggi i dipendenti a essere cauti con le comunicazioni non richieste.
Gli attacchi di vishing via Microsoft Teams rappresentano una minaccia significativa per le organizzazioni, specialmente grazie alla capacità del malware DarkGate di essere distribuito attraverso diverse canali. Implementando misure di sicurezza robuste, formando i dipendenti e aumentando la consapevolezza aziendale, le organizzazioni possono ridurre il rischio di essere vittime di questi attacchi.
