DarkGate Loader: Eine neue Phishing-Malware bedroht Microsoft Teams
Zuletzt aktualisiert am 12. September 2023 von Lars Weidmann
Phishing-Angriffe werden immer raffinierter, und Hacker verwenden zunehmend ausgefeilte Methoden, um Malware zu verbreiten. Ein neuer Phishing-Betrug namens “DarkGate Loader” zielt nun auf Microsoft Teams ab. Dabei wird eine Nachricht mit einem Link verschickt, der als “Änderungen im Urlaubsplan” getarnt ist. Doch das Klicken auf diesen Link und das Öffnen der dazugehörigen .ZIP-Dateien kann dazu führen, dass Ihr System anfällig für die angehängte Malware wird.
DarkGate Loader: Die raffinierte Vorgehensweise der Hacker
Das Sicherheitsteam vonTruesec hat DarkGate Loader seit Ende August genau beobachtet und festgestellt, dass die Hacker eine komplexe Methode verwenden, um die schädliche Datei schwer erkennbar zu machen.
Die Hacker konnten kompromittierte Office 365-Konten nutzen, um die mit Malware infizierte Nachricht mit dem Link zu den angeblichen “Änderungen im Urlaubsplan” über Microsoft Teams zu versenden. Truesec hat die betroffenen Konten identifiziert, darunter “Akkaravit Tattamanas” ([email protected]) und “ABNER DAVID RIVERA ROJAS” ([email protected]).
Die Malware besteht aus einem infizierten VBScript, das in einer LNK-Datei (Windows-Verknüpfung) versteckt ist. Das Sicherheitsteam von Truesec weist darauf hin, dass der Angriff durch die Verwendung einer SharePoint-URL raffiniert ist, da dies es für Benutzer schwierig macht, die schädliche Datei zu erkennen. Der vorab kompilierte Windows cURL-Skripttyp erschwert zudem die Identifizierung des Codes, da dieser in der Mitte der Datei verborgen ist.
Das Skript kann erkennen, ob der Benutzer den Antivirus Sophos installiert hat. Wenn nicht, kann die Malware zusätzlichen Code injizieren, um eine “stacked strings”-Attacke auszuführen. Dabei wird ein Shellcode geöffnet, der eine ausführbare DarkGate-Datei in den Arbeitsspeicher des Systems lädt, so das Team.
Auch wenn diese Texte auf englisch formuliert sind, sollten wir in Deutschland aufpassen. Denn es kann sein, dass es nicht lange dauert, bis auch deutschsprachige Texte versendet werden.
Auch andere Phishing-Versuche bei Microsoft Teams
DarkGate Loader ist nicht der einzige Phishing-Betrug, der in diesem Sommer Microsoft Teams heimsucht. Eine Gruppe russischer Hacker namens Midnight Blizzard hat im August eine Social Engineering-Exploit genutzt, um etwa 40 Organisationen anzugreifen. Die Hacker verwendeten Microsoft 365-Konten kleiner Unternehmen, die bereits beeinträchtigt waren, und gaben sich als technischer Support aus, um ihre Angriffe durchzuführen. Microsoft hat das Problem mittlerweile behoben, wieWindows Central berichtet.
Im vergangenen Herbst gab es eine häufige Trendwende bei sogenannten “Business Email Compromise (BEC)”-Kampagnen. Dabei handelt es sich um Phishing-Betrügereien, bei denen ein böswilliger Akteur sich als Firmenchef ausgibt und eine E-Mail verschickt, die wie eine weitergeleitete E-Mail-Kette aussieht und Anweisungen an einen Mitarbeiter enthält, Geld zu überweisen.
Ein weiterer berüchtigter Exploit war die Windows-Zero-Day-Schwachstelle Follina. Forscher entdeckten sie im Frühjahr letzten Jahres und stellten fest, dass sie Hackern Zugriff auf das Microsoft Support Diagnostic Tool ermöglicht, das häufig mit Microsoft Office und Microsoft Word in Verbindung gebracht wird.
