- Criminelen nemen contact op met slachtoffers en bieden hulp aan bij een ‘probleem’
- Om het probleem op te lossen, vragen ze toegang tot AnyDesk
- Als ze het te pakken krijgen, laten ze de DarkGate-malware vallen en stelen ze gevoelige gegevens
Cybercriminelen combineren Microsoft Teams en AnyDesk proberen een gevaarlijk stukje te installeren malware op de apparaten van hun doelwit hebben experts gewaarschuwd.
In een rapport van Trend Micro, dat beweert onlangs een dergelijke aanval in het wild te hebben waargenomen, wordt opgemerkt dat de aanvallers eerst duizenden spam-e-mails naar hun doelwitten stuurden en vervolgens contact opnamen via Microsoft Teams, waarbij ze zich voordeden als een medewerker van een externe leverancier.
De aanvallers boden hulp bij het probleem en instrueerden het slachtoffer om een Microsoft Remote Support-applicatie te installeren. Als dat niet lukte, zouden ze hetzelfde proberen met AnyDesk. Indien succesvol, zouden de aanvallers de toegang gebruiken om meerdere payloads af te leveren, waaronder een stukje malware genaamd DarkGate.
DarkGate is een zeer veelzijdige malware die kan fungeren als achterdeur op geïnfecteerde systemen, waardoor aanvallers op afstand opdrachten kunnen uitvoeren. Het kan extra payloads installeren en gevoelige gegevens exfiltreren zonder opgemerkt te worden. Gegevens van hoge waarde omvatten inloggegevens, persoonlijk identificeerbare informatie of gegevens over klanten, klanten en zakenpartners.
Een van de opvallende kenmerken is het modulaire ontwerp, waardoor aanvallers de functionaliteit van de malware kunnen wijzigen. In het ene scenario kan het dus fungeren als infostealer, en in het andere als druppelaar.
De aanval werd geblokkeerd voordat er enige schade van betekenis werd aangericht, maar de onderzoekers gebruikten het als een kans om bedrijven te waarschuwen voor de constante dreiging die op de loer ligt op internet.
Organisaties moeten hun werknemers trainen in het herkennen van phishing- en social engineering-aanvallen, waar mogelijk multi-factor authenticatie (MFA) inzetten en een zo groot mogelijk deel van hun infrastructuur achter een VPN plaatsen. Bovendien moeten ze zowel de software als de hardware up-to-date houden en rekening houden met de einddatum van de levensduur van kritieke apparatuur.
Uiteindelijk moeten ze hun gezond verstand gebruiken en niet trappen in voor de hand liggende oplichtingspogingen die op internet welig tieren.
Via Het hackernieuws
