Hacker Sfruttano Microsoft Teams Per Diffondere Malware

Una recente violazione della sicurezza informatica ha rivelato come un attacco di ingegneria sociale, sfruttando il voice phishing (vishing) attraverso Microsoft Teams, abbia permesso a un malintenzionato di diffondere il malware DarkGate sul sistema di una vittima.

L’attacco, analizzato dal team di Trend Micro Managed Detection and Response (MDR), evidenzia l’evoluzione della natura delle minacce informatiche e la necessità critica di strategie di difesa robuste. L’attacco è iniziato quando la vittima ha ricevuto diverse migliaia di email prima che un attaccante, fingendosi un rappresentante del cliente, chiamasse tramite Microsoft Teams.

L’imitatore ha istruito la vittima a scaricare l’applicazione di assistenza remota di Microsoft, ma dopo che questo tentativo di installazione è fallito, l’attaccante è riuscito a convincere la vittima a scaricare AnyDesk, uno strumento legittimo di desktop remoto.

L’aggressore ha quindi guidato la vittima a inserire le proprie credenziali, concedendo un accesso non autorizzato al sistema.

Una volta all’interno del sistema, l’attaccante ha scaricato diversi file sospetti, uno dei quali è stato identificato come Trojan.AutoIt.DARKGATE.D, dando il via a una serie di comandi. Ciò ha portato alla connessione con un potenziale server di comando e controllo (C&C), permettendo all’attaccante di eseguire ulteriori azioni malevole.

Sebbene l’attacco sia stato interrotto prima che si verificasse qualsiasi esfiltrazione di dati, ha evidenziato diverse vulnerabilità nella gestione dell’accesso remoto e nelle tattiche di ingegneria sociale.

L’attaccante ha utilizzato script AutoIt per ottenere il controllo remoto della macchina della vittima, eseguendo comandi per raccogliere informazioni sul sistema e stabilire una presenza più persistente.

In particolare, il processo AutoIt3.exe ha eseguito una serie di comandi che hanno scaricato ulteriore malware, incluso script che hanno tentato di connettersi a IP esterni. Il malware è stato progettato per evitare il rilevamento cercando prodotti antivirus e creando numerosi file casuali per nascondere la sua presenza.

L’obiettivo finale dell’attacco sembrava essere l’installazione di un payload finale di DarkGate. Questo payload avrebbe ulteriormente permesso all’attaccante di controllare il sistema della vittima e potenzialmente esfiltrare dati sensibili. Tuttavia, l’attacco è stato rilevato in tempo, impedendo all’attaccante di raggiungere il loro obiettivo.

Per difendersi da tali attacchi, gli esperti raccomandano alle organizzazioni di valutare accuratamente i fornitori di supporto tecnico di terze parti. Gli strumenti di accesso remoto, come AnyDesk, dovrebbero essere inseriti nella whitelist e monitorati, con l’autenticazione a più fattori (MFA) abilitata per prevenire accessi non autorizzati.

Inoltre, i dipendenti dovrebbero ricevere una formazione regolare per riconoscere le tattiche di ingegneria sociale e i tentativi di phishing, che rimangono un vettore chiave per gli attacchi informatici.