Microsoft Teams usado en campañas de ingeniería social para distribución de malware DarkGate

Una campaña de ciberamenazas ha aprovechado Microsoft Teams como vector para distribuir el malware conocido como DarkGate, utilizando tácticas avanzadas de ingeniería social.

Según investigadores de Trend Micro, los ciberatacantes utilizaron Microsoft Teams para simular ser un cliente de confianza y persuadir a la víctima de descargar software de acceso remoto. Aunque inicialmente intentaron instalar una aplicación oficial de soporte remoto de Microsoft, el atacante logró que la víctima instalase AnyDesk, una herramienta comúnmente utilizada para acceso remoto.

El ataque siguió un enfoque de múltiples etapas:

• Bombardeo de correos electrónicos: Los actores de la amenaza  saturaron la bandeja de entrada de la víctima con miles de correos electrónicos.
• Contacto a través de Microsoft Teams: Se hicieron pasar por empleados de un proveedor externo para ganar la confianza de la víctima.
• Instalación de AnyDesk: Con el acceso remoto habilitado, los atacantes entregaron varias cargas maliciosas, incluyendo el malware DarkGate y un ladrón de credenciales.

Características del Malware DarkGate.

DarkGate, activo desde 2018, es un troyano de acceso remoto (RAT) que ha evolucionado hacia un modelo de malware como servicio (MaaS), con una base de clientes estrictamente controlada. Entre sus capacidades se incluyen:

• Robo de credenciales.
• Registro de pulsaciones de teclas.
• Captura de pantalla.
• Grabación de audio.
• Control remoto del escritorio.

Los análisis de Trend Micro revelan que DarkGate se distribuye mediante dos vectores principales: 

• Scripts AutoIt.
• Scripts AutoHotKey.

En el incidente documentado, el malware fue desplegado a través de un script AutoIt. Aunque el ataque fue detenido antes de que ocurriera una exfiltración de datos, destaca la sofisticación en la diversificación de rutas de acceso iniciales empleadas por los actores de la amenaza.

La ejecución de AnyDesk.exe se observaron segundos después de descargar la aplicación. El comando ejecutado fué:

C:\Users\<user>\Downloads\AnyDesk.exe” --local-service

Este comando ejecuta AnyDesk y lo inicia como un servicio local en el sistema con privilegios elevados o de forma minimizada/automatizada.

Pocos minutos después, cmd.exe fue llamado para ejecutar rundll32.exe para cargar SafeStore.dll. 

processCmd: "C:\Windows\System32\cmd.exe

eventSubId: 2 - TELEMETRY_PROCESS_CREATE

objectFilePath: c:\windows\system32\rundll32.exe

objectCmd: rundll32.exe SafeStore.dll,epaas_request_clone

Seguidamente, la ejecución de SafeStore.dll, originalmente llamado epaas_client.dll, solicita un formulario de inicio de sesión. Conforme se ejecutaba el formulario, así mismo se ejecutaban varios comandos maliciosos en segundo plano, aun si el usuario no había introducido las credenciales. 

• cmd /c systeminfo: Comando que proporciona información detallada sobre la configuración del sistema operativo, la versión, especificaciones de hardware, memoria, detalles del adaptador de red y el tiempo de actividad del sistema.
• cmd /c route print: Comando que proporciona la tabla de enrutamiento de red actual, mostrando cómo se dirige el tráfico de red a diferentes destinos según la configuración de red del sistema.
• cmd /c ipconfig /all: Comando que proporciona información detallada sobre todas las interfaces de red del sistema, incluyendo direcciones IP, máscaras de subred, puertas de enlace, servidores DNS y otros detalles de configuración de red.

Script de DarkGate A3x.

El archivo ejecutable SystemCert.exe (SHA256: 4e291266399bd8db27da0f0913c041134657f3b1cf45f340263444c050ed3ee1) se ejecutó y creó script.a3x y Autoit3.exe en el directorio C:\Temp\test\

Creación de script.a3x y Autoit3.exe – Trend Micro

Una vez creados los archivos, el script malicioso script.a3x se ejecuta mediante el comando cmd C:\temp\test\AutoIt3.exe C:\temp\test\script.a3x

El script se descifra a sí mismo en la memoria como shellcode y se inyecta en procesos remotos. Este proceso se utiliza como proxy para cargar y ejecutar el script DarkGate en la memoria.

Recomendaciones de seguridad.

Para mitigar este tipo de ataques, se recomienda implementar las siguientes medidas:

• Habilitar autenticación multifactor (MFA).
• Limitar el uso de herramientas de acceso remoto a una lista aprobada.
• Bloquear la instalación de aplicaciones no verificadas.
• Auditar rigurosamente a proveedores externos de soporte técnico.
• Concienciar a los empleados sobre tácticas de vishing y phishing.

Más información: 

• Attackers exploit Microsoft Teams and AnyDesk to deploy DarkGate malware. https://thehackernews.com/2024/12/attackers-exploit-microsoft-teams-and.html
• Vishing via Microsoft Teams facilitates DarkGate malware intrusion. https://www.trendmicro.com/en_us/research/24/l/darkgate-malware.html
• DarkGate malware attack detection: Voice phishing via Microsoft Teams leads to malware distribution. https://socprime.com/blog/darkgate-malware-detection/
• DarkGate malware distributed via Microsoft Teams voice phishing. https://blog.knowbe4.com/darkgate-malware-distributed-via-microsoft-teams-voice-phishing