一项新的社会工程活动利用 Microsoft Teams 来促进部署一种名为DarkGate的已知恶意软件。
趋势科技研究人员 Catherine Loveria、Jovit Samaniego 和 Gabriel Nicoleta表示:“攻击者通过 Microsoft Teams 通话使用社会工程学冒充用户客户端并获取其系统的远程访问权限”。
“攻击者未能安装 Microsoft 远程支持应用程序,但成功指示受害者下载常用于远程访问的工具 AnyDesk。”
根据网络安全公司 Rapid7最近记录,此次攻击涉及用“数千封电子邮件”轰炸目标的电子邮件收件箱,之后威胁行为者伪装成外部供应商的员工通过 Microsoft Teams 与他们联系。
随后,攻击者指示受害者在其系统上安装 AnyDesk,并滥用远程访问来传递多个有效载荷,包括凭证窃取程序和 DarkGate 恶意软件。
DarkGate 是一种远程访问木马 (RAT),自 2018 年以来一直活跃于野外,现已演变为恶意软件即服务 (MaaS) 产品,客户数量受到严格控制。它的各种功能包括进行凭证盗窃、键盘记录、屏幕捕获、录音和远程桌面。
对过去一年中各种 DarkGate 活动的分析表明,该恶意软件已知通过两种不同的攻击链进行传播,分别使用 AutoIt 和 AutoHotKey 脚本。在趋势科技调查的事件中,该恶意软件是通过 AutoIt 脚本部署的。
尽管此次攻击在任何数据泄露活动发生之前就被阻止了,但研究结果表明威胁行为者正在使用多种初始访问路线进行恶意软件传播。
建议组织启用多因素身份验证 (MFA)、将批准的远程访问工具列入允许名单、阻止未经验证的应用程序,并彻底审查第三方技术支持提供商,以消除网络钓鱼风险。
这一发展发生在各种网络钓鱼活动激增的背景下,这些活动利用各种诱饵和技巧来欺骗受害者获取他们的数据 -
这是一项针对 YouTube 的大规模活动,其中恶意行为者冒充知名品牌并通过电子邮件联系内容创建者,以寻求潜在的促销、合作建议和营销合作,并敦促他们点击链接签署协议,最终导致部署 Lumma Stealer。通过解析器提取来自 YouTube 频道的电子邮件地址。
该钓鱼活动利用带有 PDF 附件的网络钓鱼电子邮件,该 PDF 附件中包含二维码,扫描后,会将用户引导至虚假的 Microsoft 365 登录页面以窃取凭证。
网络钓鱼攻击利用与Cloudflare Pages 和 Workers相关的信任来建立模仿 Microsoft 365 登录页面和虚假 CAPTCHA 验证检查的虚假网站,据称是为了查看或下载文档。
网络钓鱼攻击使用HTML 电子邮件附件,这些附件伪装成发票或人力资源政策等合法文件,但包含嵌入的 JavaScript 代码来执行恶意操作,例如将用户重定向到网络钓鱼网站、获取凭据以及以修复错误(即 ClickFix)为借口欺骗用户运行任意命令。
电子邮件网络钓鱼活动利用Docusign、Adobe InDesign 和 Google Accelerated Mobile Pages (AMP)等可信平台来诱使用户点击旨在获取其凭证的恶意链接。
声称来自Okta 支持团队的网络钓鱼企图获取用户凭证并破坏组织的系统。
针对印度用户的网络钓鱼信息通过 WhatsApp 分发,并指示收件人在 Android 设备上安装能够窃取财务信息的恶意银行或实用程序应用程序。
众所周知,威胁者还会迅速利用全球事件为自己牟利,将其纳入网络钓鱼活动,经常利用紧迫感和情绪反应来操纵受害者并诱使他们做出非预期的行为。这些努力还通过使用特定于事件的关键字进行域名注册来补充。
Palo Alto Networks Unit 42表示:“备受瞩目的全球性活动,包括体育锦标赛和产品发布会,吸引了那些试图利用公众利益的网络犯罪分子。这些犯罪分子注册模仿官方网站的欺骗性域名来销售假冒商品并提供欺诈服务。”
“通过监控域名注册、文本模式、DNS异常和变更请求趋势等关键指标,安全团队可及早识别和减轻威胁。”
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
