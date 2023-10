Det er en kjensgjerning at trusselaktører ofte foretrekker å bruke velkjente og betrodde merkevarer til å spre ondsinnet programvare, og det har vi nå fått nok et eksempel på, rapporterer blant andre Techradar.

Sikkerhetsselskapet Trend Micro opplyser at de har identifisert en skadevarekampanje som utnyttet de populære kommunikasjonsplattformene Teams og Skype til å spre skadelig programvare.

«DarkGate»

Programvaren det dreier seg om, heter DarkGate, og den kan blant annet brukes til å stjele informasjon fra nettlesere, utvinning av kryptovaluta, registrering av tastetrykk (keylogging) og eskalering av privilegier.

Skadevaren retter seg hovedsakelig mot det amerikanske kontinentet og Asia, men Europa er også omfattet, med litt under 30 prosent av ofrene.

Spredningen skjer ved at trusselaktørene kompromitterer brukerkontoene på kommunikasjonsplattformene og deretter bruker denne tilgangen til å dele et skript som i sin tur laster ned selve «nyttelasten» i form av DarkGate-programvaren.

Sikkerhetsselskapet sier at trusselaktørene opererer ved å utnytte tilliten mellom organisasjoner til å villede mottakeren til å kjøre den ondsinnede programvaren. Skriptet bruker ofte det harmløse PDF-formatnavnet til å lure mottakeren, men i realiteten dreier det seg om et såkalt VBS-skript (Visual Basic for Applications).

Ifølge Trend Micro har skadevaren vært relativt lite aktiv de seneste årene siden den først ble oppdaget i 2017, men har blusset opp igjen i det siste.

Uvisst hvordan hackingen skjer

Sikkerhetsselskapet Truesec omtalte for eksempel programvaren så sent som i september i år, da de opplyste at DarkGate ble spredt med Microsoft Teams via overbevisende, HR-relaterte (human resources) meldinger designet for såkalt sosial manipulering av ofrene.

I det tilfellet skal de ondsinnede Teams-meldingene ha blitt sendt fra to eksterne Office 365-kontoer som var kompromittert av trusselaktørene. Saken ble også omtalt av sikkerhetsselskapet Malwarebytes forrige måned.

Dessverre vet man ennå ikke hvordan kontoene blir kompromittert av trusselaktørene til å sende ut de ondsinnede meldingene, selv om Trend Micro har sine mistanker.

– Det er uklart hvordan opprinnelseskontoene hos meldingsapplikasjonene ble kompromittert, men hypotesen er at det er enten gjennom lekket legitimasjon som er tilgjengelig på undergrunnsfora, eller en tidligere kompromittering av moderorganisasjonen, skriver sikkerhetsselskapet.

Mer informasjon kan man finne i Trend Micro sin omtale.