網路犯罪分子在新的網路釣魚活動中使用了 Microsoft Teams 訊息,旨在誘騙用戶下載受惡意軟體感染的附件。
Microsoft Teams 剛剛成為新網路釣魚活動的目標。首次發現這個問題是在 2023 年 8 月下旬,當時來自兩個受感染的 Office 365 帳戶的惡意 Microsoft Teams 訊息開始在不同的組織中傳播。這些郵件誘騙收件人下載一個看似無害的 ZIP 文件,其標題十分誘人:「假期安排變更」。最近,Google Docs、Slide 和 Looker Studio 也面臨類似的網路釣魚問題。
毫無戒心的受害者點擊此附件然後啟動從 SharePoint URL 下載 ZIP 檔案。然而,ZIP 中看似無害的 PDF 檔案實際上是包含危險 VBScript 的 LNK 檔案。該腳本導致安裝了一種名為 DarkGate 的臭名昭著的惡意軟體。
另請閱讀–Windows 11:預設不再安裝Microsoft Teams,Slack宣稱勝利
DarkGate 這個新的危險惡意軟體是什麼?
暗門是此次活動的核心惡意軟體,自 2017 年以來就已經存在。然而,它的使用之前僅限於針對特定受害者的一小部分網路犯罪分子。 DarkGate 是一種功能強大的多方面惡意軟體,能夠執行一系列惡意活動,包括透過hVNC 進行遠端存取、加密貨幣挖掘、反向shell 攻擊、鍵盤記錄、剪貼簿資料竊取以及敏感資訊(包括檔案和瀏覽資料)的外洩。
網路安全公司 Truesec 的調查顯示,下載過程巧妙地使用 Windows cURL 來擷取惡意軟體程式碼。 VBScript經過預先編譯,其惡意元件被巧妙地隱藏在檔案中,這使得安全系統更難以偵測。
這並不是 Microsoft Teams 訊息第一次涉及安全性問題。最近,發現了一個漏洞,允許來自外部帳戶的訊息滲入組織的收件匣,這是不應該發生的。看來 DarkGate 活動也利用了此漏洞。
