Phần mềm độc hại – DarkGate Malware lây lan qua dịch vụ tin nhắn dưới dạng tập tin PDF

Bảo mật cho người mới Thông cáo - Tin tức VSEC - BLOG

DarkGate – Một loại phần mềm độc hại (Malware) được xác định là đang lây lan nhanh chóng qua các nền tảng IM (Instant Message – Tin nhắn tức thời) như Skype hay Microsoft Teams trong giai đoạn gần đây.

DarkGate có khả năng truy cập từ xa vào các mục tiêu Endpoint, mã hoá dữ liệu, khai thác tiền điện tử và đánh cắp thông tin xác thực. Nó được công bố lần đầu vào năm 2018 bởi Fortinet và được xác định là một loại Malware thương mại.

Theo Trend Micro, các cuộc tấn công sử dụng DarkGate đã được phát hiện ở Châu Phi, Châu Á, Trung Đông và Châu Phi.

Để thực hiện các hành vi bất hợp pháp của mình, DarkGate đã sử dụng một công cụ tự động hoá AutoIt (AutoIt3.exe) được thiết kế cho hệ điều hành Windows. AutoIt là một công cụ chính hãng nhưng các loại malware thường ứng dụng nó để vượt qua các biện pháp phòng thủ và thêm một lớp che giấu bổ sung.

Chuỗi lây nhiễm DarkGate lạm dụng Skype

Chuỗi lây nhiễm DarkGate lạm dụng Skype

Kẻ tấn công – Attacker chỉ cần sử dụng tài khoản Skype bị tấn công để chiếm quyền điều khiển, sau đó tiến hành phát tán các tin nhắn có chứa các tập tin VBS độc hại giả mạo tệp PDF.

“Tin tặc thường xuyên lạm dụng mối quan hệ và sự tin cậy giữa các cá nhân hoặc tổ chức để đánh lừa người nhận thực thi tập tin VBA đính kèm”.

Các nhà nghiên cứu quan sát thấy rằng, lệnh “Curl” được sử dụng để truy xuất ứng dụng AutoIt hợp pháp và các tệp độc hại liên quan.

(Curl là một command line tool và thư viện được sử dụng để truyền dữ liệu thông qua nhiều giao thức khác nhau (như HTTP, HTTPS, FTP, FTPS, SCP, SFTP, FILE, IMAP, SMTP, POP3, RTSP và RTMP…). Được đời từ năm 1997 viết bởi Daniel Stenberg viết bằng C. Với giao thức HTTP, CURL hỗ trợ việc gửi đi một request với tất cả các phương thức hiện có như GET, POST, PUT, DELETE…)

Tin nhắn Skype có chứa tệp đính kèm độc hại được nhúng dưới dạng tệp PDF

Tin tặc lạm dụng nền tảng Microsoft Teams

Đối với nền tảng Microsoft Teams, nạn nhân có nguy cơ nhận được các tin nhắn rác từ tính năng “Cho phép nhận thông báo từ người dùng bên ngoài tổ chức”.

Đầu tháng 9/2023, TrueSec đã tung ra các cảnh báo tới người dùng về tỷ lệ lạm dụng Microsoft Teams làm Vector lây lan DarkGate.

Cách thức phòng tránh

  • Luôn luôn kiểm tra kỹ các nguồn gửi/người gửi.
  • Kiểm tra kỹ các file đính kèm trên tất cả các nền tảng tin nhắn, email, etc.
  • Không tuỳ tiện tải xuống/truy cập các tập tin/tệp từ người lạ.
  • Cài đặt các giải pháp bảo vệ an toàn thông tin như AV, EDR từ các đơn vị uy tín.
  • Thường xuyên cập nhật các giải pháp an toàn thông tin.