Một phần mềm độc hại có tên DarkGate đang gây ra sự lo ngại khi lây lan qua các nền tảng nhắn tin tức thời như Skype và Microsoft Teams. Trong các cuộc tấn công này, các ứng dụng nhắn tin được sử dụng để phân phối tập lệnh tải Visual Basic for Application (VBA) giả dạng tài liệu PDF. Khi mở tài liệu PDF này, tập lệnh kích hoạt quá trình tải xuống và thực thi tập lệnh AutoIt, mục đích là khởi chạy phần mềm độc hại DarkGate.
Tổ chức Trend Micro đã công bố một phân tích mới, nhấn mạnh rằng họ chưa chắc chắn về cách DarkGate xâm nhập vào tài khoản gốc của các ứng dụng nhắn tin, nhưng có một giả thuyết cho rằng thông tin đăng nhập có thể đã bị rò rỉ thông qua các diễn đàn ngầm hoặc sự xâm phạm trước đó của tổ chức mẹ.
DarkGate, được Fortinet ghi nhận lần đầu vào tháng 11 năm 2018, là một phần mềm độc hại đa năng, có khả năng thu thập dữ liệu nhạy cảm từ trình duyệt web, tiến hành khai thác tiền điện tử và cho phép người điều khiển từ xa các máy chủ bị nhiễm. Nó cũng hoạt động như một trình tải xuống để cài đặt các tải trọng bổ sung như Remcos RAT.
Các cuộc tấn công phân phối phần mềm độc hại thông qua các ứng dụng nhắn tin đã tăng lên trong thời gian gần đây, sử dụng các chiến thuật xâm nhập ban đầu như email lừa đảo và tối ưu hóa công cụ tìm kiếm (SEO) để lừa người dùng cài đặt nó. Sự gia tăng này xảy ra sau khi tác giả của phần mềm độc hại đã quảng cáo nó trên các diễn đàn ngầm và cho phép các tác nhân đe dọa thuê nó như một dịch vụ, sau nhiều năm sử dụng nó một cách riêng tư.
Việc sử dụng tin nhắn trò chuyện của Microsoft Teams làm cách để DarkGate lan truyền đã được Truesec nhấn mạnh trước đây, cho thấy rằng có thể đã có sự lợi dụng từ phía kẻ đe dọa.
Phần lớn các cuộc tấn công đã được phát hiện ở Châu Mỹ, theo sau là Châu Á, Trung Đông và Châu Phi, theo Trend Micro.
Tổng thể, quy trình lây nhiễm thông qua Skype và Teams tương tự như một chiến dịch malspam được báo cáo vào cuối tháng 8 năm 2023, ngoại trừ sự thay đổi trong tuyến truy cập ban đầu.
Nhóm nghiên cứu của Trend Micro lưu ý rằng "Tác nhân đe dọa đã lợi dụng mối quan hệ đáng tin cậy giữa hai tổ chức để đánh lừa người nhận thực thi tập lệnh VBA đính kèm." Việc truy cập vào tài khoản Skype của nạn nhân đã cho phép kẻ tấn công chiếm quyền điều khiển chuỗi tin nhắn hiện có và tạo ra quy ước đặt tên cho các tệp liên quan đến bối cảnh của lịch sử trò chuyện.
Tập lệnh VBA đóng vai trò là đường dẫn để tìm nạp ứng dụng AutoIt hợp pháp (AutoIt3.exe) và tập lệnh AutoIt này chịu trách nhiệm khởi chạy phần mềm độc hại DarkGate.
Cũng có một chuỗi tấn công thay thế liên quan đến việc gửi tin nhắn Microsoft Teams chứa tệp đính kèm kho lưu trữ ZIP chứa tệp LNK, tệp này được thiết kế để chạy tập lệnh VBA nhằm truy xuất AutoIt3.exe và tạo phần mềm DarkGate.
Các nhà nghiên cứu cho biết, "Tội phạm mạng có thể sử dụng các tải trọng này để lây nhiễm nhiều loại phần mềm độc hại khác nhau vào hệ thống, bao gồm kẻ đánh cắp thông tin, phần mềm tống tiền, các công cụ quản lý từ xa độc hại và/hoặc bị lạm dụng cũng như các công cụ khai thác tiền điện tử."
"Miễn là việc nhắn tin bên ngoài được cho phép hoặc việc lạm dụng các mối quan hệ đáng tin cậy thông qua các tài khoản bị xâm nhập không được kiểm tra, thì kỹ thuật truy cập ban đầu này có thể được thực hiện với và với bất kỳ ứng dụng nhắn tin tức th
ời (IM) nào." Điều này nói lên tầm quan trọng của việc bảo vệ tài khoản và hệ thống khỏi các mối đe dọa mạng trực tuyến.