Hackers misbruiken Microsoft Teams en Skype om DarkGate-malware te verspreiden onder gerichte organisaties. Dit meldt het cybersecurity-bedrijf Trend Micro in een onderzoeksrapport op hun website.
Trend Micro detecteert in de periode juli tot september DarkGate-aanvallen in Amerika, Azië, het Midden-Oosten, Afrika en Europa. Het aantal slachtoffers in Nederland is onbekend. De onderzoekers van Trend Micro weten niet hoe de hackers toegang hebben gekregen tot de Skype- en Teams-accounts. Hun vermoeden is dat dit komt door een datalek.
Wat is DarkGate-malware?
Met DarkGate-malware is het voor cybercriminelen mogelijk om software te installeren waarmee ze op afstand toegang hebben tot een apparaat. Ook kunnen ze via de malware informatie uit browsers stelen, toetsaanslagen opslaan en het systeem voor cryptomining gebruiken.
Hoe verspreidt de malware zich?
Zodra de hackers toegang hebben tot een Skype-account, liften ze mee op een bestaand gesprek door de gesprekspartner een misleidende bijlage in pdf-formaat te sturen. In werkelijkheid gaat het om een VBS-script (een scripttaal dat is ontwikkeld door Microsoft) dat bij activatie malware installeert.
Via Microsoft Teams wordt er een soortgelijke actie uitgevoerd, maar dan via een malafide link of .LNK-bestand.
Extra payloads
De onderzoekers merkten ook op dat zodra DarkGate op het systeem van het slachtoffer wordt geïnstalleerd, er extra payloads verschijnen.
Cybercriminelen kunnen dit gebruiken om systemen te infecteren met verschillende soorten malware, waaronder ransomware. Dit is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld, aldus het Nationaal Cyber Security Centrum.
Advies van de onderzoekers van Trend Micro
Om meer slachtoffers te voorkomen adviseren de onderzoekers organisaties om gesprekken van externe domeinen te weigeren en bijlagen te controleren. Ook wordt het installeren van tweefactorauthenticatie aangeraden, zodat cybercriminelen niet kunnen inloggen in de accounts van werknemers.