資安廠商趨勢科技 (Trend Micro) 日前發表研究報告,指出該公司發現一個名為 DarkGate 的惡意軟體,近期利用竊得的 Skype 帳號,以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。
趨勢科技的研究人員,在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動;駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話,然後將含有惡意軟體的檔案名稱,改成符合對話內容的形式後傳遞給受害者。
傳送給受害者的檔案中,含有 VBA 載入指令,可進一步載入 AutoIT 惡意軟體酬載,用來載入並執行最終的 DarkGate 惡意軟體酬載。
趨勢科技指出,目前並不清楚這些 Skype 帳號是如何遭到竊取,以用於發送惡意軟體的,有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。
此外,趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼;遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。
趨勢科技指出,駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號,並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊;駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制,並且發送釣魚附件檔案給討論群組中的使用者。
建議企業加強對內部訊息討論群組的資安防護,分享相關文件、試算表或簡報應盡可能避免直接分享檔案,可改使用線上版生產力工具,以杜絕惡意指令碼的執行。
- 參考連結
DarkGate Opens Organizations for Attack via Skype, Teams
DarkGate malware spreads through compromised Skype accounts
留言列表