网络犯罪分子在新的网络钓鱼活动中使用了 Microsoft Teams 消息,旨在诱骗用户下载受恶意软件感染的附件。
Microsoft Teams 刚刚成为新网络钓鱼活动的目标。首次发现这一问题是在 2023 年 8 月下旬,当时来自两个受感染的 Office 365 帐户的恶意 Microsoft Teams 消息开始在不同的组织中传播。这些邮件诱骗收件人下载一个看似无害的 ZIP 文件,其标题十分诱人:“假期安排变更”。最近,Google Docs、Slide 和 Looker Studio 也面临类似的网络钓鱼问题。
毫无戒心的受害者点击此附件然后启动从 SharePoint URL 下载 ZIP 文件。然而,ZIP 中看似无害的 PDF 文件实际上是包含危险 VBScript 的 LNK 文件。该脚本导致安装了一种名为 DarkGate 的臭名昭著的恶意软件。
另请阅读–Windows 11:默认不再安装Microsoft Teams,Slack宣称胜利
DarkGate 这个新的危险恶意软件是什么?
暗门是此次活动的核心恶意软件,自 2017 年以来就已存在。然而,它的使用之前仅限于针对特定受害者的一小部分网络犯罪分子。 DarkGate 是一种功能强大、多方面的恶意软件,能够执行一系列恶意活动,包括通过 hVNC 进行远程访问、加密货币挖掘、反向 shell 攻击、键盘记录、剪贴板数据盗窃以及敏感信息(包括文件和浏览数据)的泄露。
网络安全公司 Truesec 的调查显示,下载过程巧妙地使用 Windows cURL 来检索恶意软件代码。 VBScript经过预编译,其恶意组件被巧妙地隐藏在文件中,这使得安全系统更难以检测。
这并不是 Microsoft Teams 消息第一次涉及安全问题。最近,发现了一个漏洞,允许来自外部帐户的消息渗透到组织的收件箱中,这是不应该发生的。看来 DarkGate 活动也利用了此漏洞。
