DarkGate, il terribile malware che approfitta dei messaggi Microsoft Teams: come proteggere i propri dati da una nuova ondata di attacchi informatici.
Negli ultimi tempi, l’uso di piattaforme collaborative come Microsoft Teams ha visto un’esplosione. Con l’adozione diffusa di queste piattaforme, però, arrivano anche nuovi rischi per la sicurezza. Ed è proprio ciò che è accaduto recentemente con Teams, bersaglio di una raffinata campagna di phishing.
A partire dalla fine di agosto 2023, gli esperti di sicurezza hanno individuato alcuni messaggi dannosi provenienti da due account Office 365 compromessi, circolanti attraverso Teams. Questi messaggi, camuffati sotto l’invitante titolo “Modifiche al calendario delle vacanze”, indirizzavano i destinatari verso un allegato, un file ZIP, che a prima vista sembrava innocuo. Ma non era così.
Gli ignari destinatari che hanno aperto l’allegato sono stati reindirizzati a un URL di SharePoint, pensato per scaricare il malware. E invece di un innocuo documento PDF, il file ZIP conteneva un insidioso file LNK che, una volta attivato, eseguiva un VBScript, il quale a sua volta portava all’installazione di un malware noto come DarkGate.
Ma, cosa è esattamente DarkGate? Questo malware non è un novellino nel panorama delle minacce informatiche: circola dal 2017. Ma fino a poco tempo fa, era utilizzato solo da un piccolo gruppo di hacker per colpire bersagli specifici. La sua pericolosità risiede nella sua capacità di effettuare un’ampia gamma di attività dannose: dal mining di criptovalute, al furto di dati sensibili, fino all’accesso remoto ai dispositivi delle vittime.
Gli analisti della società di cybersicurezza Truesec hanno approfondito il funzionamento di questa recente campagna di phishing, scoprendo che il malware sfrutta una tecnica nota come Windows cURL per scaricare il proprio codice maligno. Ciò che è particolarmente allarmante di questa campagna è la sofisticatezza con cui il VBScript era nascosto all’interno dell’allegato, eludendo così molti sistemi di sicurezza.
Questo non è, purtroppo, il primo incidente di sicurezza riguardante Microsoft Teams. Recentemente, è stata scoperta una vulnerabilità che permetteva a messaggi provenienti da account esterni di insinuarsi nelle comunicazioni interne di un’organizzazione. Tutto indica che anche gli autori della campagna DarkGate abbiano sfruttato questa breccia.
