MÜNCHEN (IT BOLTWISE) – In einer neuen Angriffswelle nutzen Cyberkriminelle Microsoft Teams und AnyDesk, um die gefährliche DarkGate-Malware zu verbreiten.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
In einer kürzlich aufgedeckten Angriffskampagne haben Cyberkriminelle Microsoft Teams als Plattform genutzt, um die bekannte Malware DarkGate zu verbreiten. Diese Angriffe basieren auf ausgeklügelten Social-Engineering-Techniken, bei denen sich die Angreifer als Geschäftspartner ausgeben, um das Vertrauen der Opfer zu gewinnen. Laut Sicherheitsexperten von Trend Micro wurde ein solcher Angriff über einen Microsoft Teams-Anruf initiiert, bei dem der Angreifer vorgab, ein Kunde des Opfers zu sein, um Zugriff auf dessen System zu erhalten.
Obwohl der Versuch, eine Microsoft Remote Support-Anwendung zu installieren, scheiterte, gelang es dem Angreifer, das Opfer dazu zu bringen, AnyDesk herunterzuladen. AnyDesk ist ein weit verbreitetes Tool für den Fernzugriff, das in diesem Fall missbraucht wurde, um mehrere Schadsoftware-Payloads zu installieren, darunter einen Credential Stealer und die DarkGate-Malware. Diese Malware, die seit 2018 aktiv ist, hat sich zu einem Malware-as-a-Service-Angebot entwickelt, das nur einer begrenzten Anzahl von Kunden zur Verfügung steht.
DarkGate ist ein Remote Access Trojan (RAT) mit vielfältigen Funktionen wie dem Diebstahl von Zugangsdaten, Keylogging, Bildschirmaufnahmen, Audioaufnahmen und Fernzugriff. Die Analyse verschiedener DarkGate-Kampagnen zeigt, dass die Malware über zwei unterschiedliche Angriffsketten verbreitet wird, die AutoIt- und AutoHotKey-Skripte verwenden. Im von Trend Micro untersuchten Fall wurde die Malware über ein AutoIt-Skript bereitgestellt. Glücklicherweise konnte der Angriff gestoppt werden, bevor Daten exfiltriert wurden.
Diese Vorfälle verdeutlichen, wie vielfältig die Methoden sind, die Bedrohungsakteure nutzen, um Malware zu verbreiten. Unternehmen wird empfohlen, Multi-Faktor-Authentifizierung zu aktivieren, genehmigte Fernzugriffstools zu erlauben, nicht verifizierte Anwendungen zu blockieren und Drittanbieter von technischem Support gründlich zu überprüfen, um das Risiko von Vishing-Angriffen zu minimieren.
Parallel zu diesen Angriffen gibt es eine Zunahme von Phishing-Kampagnen, die verschiedene Tricks anwenden, um Opfer zur Preisgabe ihrer Daten zu verleiten. Eine groß angelegte Kampagne zielt auf YouTube-Inhalte ab, indem sie beliebte Marken imitiert und Content-Ersteller per E-Mail kontaktiert, um sie zu vermeintlichen Partnerschaften zu bewegen. Diese E-Mails enthalten Links, die zur Installation von Lumma Stealer führen.
Ein weiteres Beispiel ist eine Quishing-Kampagne, die Phishing-E-Mails mit PDF-Anhängen verwendet, die QR-Codes enthalten. Diese QR-Codes leiten die Nutzer auf gefälschte Microsoft 365-Anmeldeseiten weiter, um Zugangsdaten zu stehlen. Solche Angriffe nutzen das Vertrauen in Plattformen wie Cloudflare Pages, um gefälschte Websites zu erstellen, die Microsoft 365-Anmeldeseiten imitieren.
Phishing-Angriffe, die HTML-E-Mail-Anhänge verwenden, sind ebenfalls weit verbreitet. Diese Anhänge tarnen sich als legitime Dokumente wie Rechnungen oder HR-Richtlinien, enthalten jedoch eingebetteten JavaScript-Code, der bösartige Aktionen ausführt. Diese Angriffe zielen darauf ab, Nutzer auf Phishing-Seiten umzuleiten, Zugangsdaten zu stehlen und Nutzer dazu zu verleiten, willkürliche Befehle auszuführen.
Cyberkriminelle nutzen auch globale Ereignisse, um ihre Phishing-Kampagnen zu verstärken, indem sie auf Dringlichkeit und emotionale Reaktionen setzen, um Opfer zu manipulieren. Diese Bemühungen werden durch Domain-Registrierungen mit ereignisspezifischen Schlüsselwörtern ergänzt. Laut Palo Alto Networks Unit 42 ziehen hochkarätige globale Ereignisse wie Sportmeisterschaften und Produktlaunches Cyberkriminelle an, die das öffentliche Interesse ausnutzen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "DarkGate-Malware: Neue Angriffe über Microsoft Teams und AnyDesk".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "DarkGate-Malware: Neue Angriffe über Microsoft Teams und AnyDesk" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "DarkGate-Malware: Neue Angriffe über Microsoft Teams und AnyDesk" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.