Kampanye rekayasa sosial baru telah memanfaatkan Microsoft Teams sebagai cara untuk memfasilitasi penyebaran malware terkenal yang disebut DarkGate.
“Seorang penyerang menggunakan rekayasa sosial melalui panggilan Microsoft Teams untuk menyamar sebagai klien pengguna dan mendapatkan akses jarak jauh ke sistem mereka,” kata peneliti Trend Micro Catherine Loveria, Jovit Samaniego, dan Gabriel Nicoleta.
“Penyerang gagal menginstal aplikasi Microsoft Remote Support namun berhasil menginstruksikan korban untuk mendownload AnyDesk, alat yang biasa digunakan untuk akses jarak jauh.”
Seperti yang baru-baru ini didokumentasikan oleh perusahaan keamanan siber Rapid7, serangan tersebut melibatkan pemboman kotak masuk email target dengan “ribuan email”, setelah itu pelaku ancaman mendekati mereka melalui Microsoft Teams dengan menyamar sebagai karyawan pemasok eksternal.
Penyerang kemudian menginstruksikan korban untuk menginstal AnyDesk di sistem mereka, dan akses jarak jauh kemudian disalahgunakan untuk mengirimkan banyak muatan, termasuk pencuri kredensial dan malware DarkGate.
Digunakan secara aktif sejak tahun 2018, DarkGate adalah trojan akses jarak jauh (RAT) yang telah berevolusi menjadi penawaran malware-as-a-service (MaaS) dengan jumlah pelanggan yang dikontrol secara ketat. Di antara beragam kemampuannya adalah melakukan pencurian kredensial, keylogging, pengambilan layar, perekaman audio, dan desktop jarak jauh.
Analisis terhadap berbagai kampanye DarkGate selama setahun terakhir menunjukkan bahwa kampanye tersebut diketahui didistribusikan melalui dua rantai serangan berbeda yang menggunakan skrip AutoIt dan AutoHotKey. Dalam insiden yang diperiksa oleh Trend Micro, malware tersebut disebarkan melalui skrip AutoIt.
Meskipun serangan tersebut telah diblokir sebelum aktivitas eksfiltrasi data dapat dilakukan, temuan ini merupakan tanda bagaimana pelaku ancaman menggunakan beragam jalur akses awal untuk penyebaran malware.
Organisasi disarankan untuk mengaktifkan autentikasi multifaktor (MFA), memasukkan alat akses jarak jauh yang disetujui ke dalam daftar yang diizinkan, memblokir aplikasi yang belum diverifikasi, dan memeriksa secara menyeluruh penyedia dukungan teknis pihak ketiga untuk menghilangkan risiko vishing.
Perkembangan ini terjadi di tengah lonjakan kampanye phishing yang memanfaatkan berbagai daya tarik dan trik untuk menipu korban agar memberikan data mereka –
- Kampanye berorientasi YouTube berskala besar di mana pelaku kejahatan menyamar sebagai merek populer dan mendekati pembuat konten melalui email untuk mendapatkan potensi promosi, proposal kemitraan, dan kolaborasi pemasaran, dan mendesak mereka untuk mengeklik tautan untuk menandatangani perjanjian, yang pada akhirnya mengarah pada penerapan dari Pencuri Lumma. Alamat email dari saluran YouTube diekstraksi melalui parser.
- Kampanye quishing yang menggunakan email phishing yang memuat lampiran PDF yang berisi lampiran kode QR, yang ketika dipindai, mengarahkan pengguna ke halaman login Microsoft 365 palsu untuk pengambilan kredensial.
- Serangan phishing memanfaatkan kepercayaan yang terkait dengan Cloudflare Pages dan Workers untuk menyiapkan situs palsu yang meniru halaman masuk Microsoft 365 dan pemeriksaan verifikasi CAPTCHA palsu untuk meninjau atau mengunduh dokumen.
- Serangan phishing yang menggunakan lampiran email HTML yang disamarkan sebagai dokumen sah seperti faktur atau kebijakan SDM tetapi berisi kode JavaScript tertanam untuk melakukan tindakan jahat seperti mengarahkan pengguna ke situs phishing, mengambil kredensial, dan menipu pengguna agar menjalankan perintah sewenang-wenang dengan dalih memperbaiki kesalahan (yaitu, ClickFix).
- Kampanye phishing email yang memanfaatkan platform tepercaya seperti Docusign, Adobe InDesign, dan Google Accelerated Mobile Pages (AMP) untuk membuat pengguna mengeklik tautan berbahaya yang dirancang untuk mengambil kredensial mereka.
- Upaya phishing yang mengaku berasal dari tim dukungan Okta dalam upaya mendapatkan akses ke kredensial pengguna dan melanggar sistem organisasi.
- Pesan phishing yang menargetkan pengguna di India yang didistribusikan melalui WhatsApp dan menginstruksikan penerimanya untuk memasang aplikasi bank atau utilitas berbahaya untuk perangkat Android yang mampu mencuri informasi keuangan.
Pelaku ancaman juga diketahui dengan cepat memanfaatkan peristiwa global untuk keuntungan mereka dengan memasukkannya ke dalam kampanye phishing mereka, sering kali memangsa keadaan darurat dan reaksi emosional untuk memanipulasi korban dan membujuk mereka untuk melakukan tindakan yang tidak diinginkan. Upaya ini juga dilengkapi dengan pendaftaran domain dengan kata kunci khusus acara.
“Acara global yang terkenal, termasuk kejuaraan olahraga dan peluncuran produk, menarik penjahat dunia maya yang ingin mengeksploitasi kepentingan publik,” kata Palo Alto Networks Unit 42. “Penjahat ini mendaftarkan domain menipu yang meniru situs resmi untuk menjual barang dagangan palsu dan menawarkan layanan penipuan.”
“Dengan memantau metrik utama seperti pendaftaran domain, pola tekstual, anomali DNS, dan tren permintaan perubahan, tim keamanan dapat mengidentifikasi dan memitigasi ancaman sejak dini.”
