Il malware DarkGate non è di certo un nome nuovo per gli esperti di sicurezza. L’agente malevolo è stato infatti scoperto verso la fine del 2017 e, fino a qualche mese fa, risultava essere una delle minacce tra le più diffuse.
Di recente, però, si è cominciato a parlarne sempre più di frequente. L’interesse su DarkGate è legato a una nuova e temibile campagna phishing che si diffonde attraverso l’utilizzo di account Microsoft Teams compromessi.
Secondo gli esperti, questa impennata di casi è dovuta a un cambio di direzione da parte dello sviluppatore del malware. A quanto pare, infatti, questo ha realizzato una propria rete di affiliazione che ha contribuito in modo consistente a distribuire l’agente malevolo online.
In un post sul blog del 6 settembre, Jakob Nordenlund, consulente senior per la sicurezza informatica di Trusec, ha affermato che il team di esperti della sua azienda ha osservato account Microsoft 365 compromessi che inviano messaggi su Teams via chat con collegamenti a file dannosi.
Microsoft Teams e DarkGate: come viene diffuso il temibile malware?
Alle potenziali vittime viene chiesto di aprire un file ZIP presumibilmente contenente un programma relativo alle ferie aziendali. L’archivio in realtà contiene un file LNK dannoso camuffato da documento PDF. In caso di clic, dunque, il sistema viene infettato da DarkGate.
Nel suo post, Nordenlund ha affermato che, nonostante in quel determinato contesto sia stato facile individuare e bloccare la minaccia, si tratta comunque di una minaccia considerevole in altri contesti.
A tal proposito, il consulente Senior ha affermato come “Sfortunatamente, le attuali funzionalità di sicurezza di Microsoft Teams come allegati sicuri o collegamenti sicuri non sono state in grado di rilevare o bloccare questo attacco“.
Per Nordelund “Al momento, l’unico modo per prevenire questo vettore di attacco all’interno di Microsoft Teams è consentire solo le richieste di chat di Microsoft Teams da specifici domini esterni, anche se potrebbe avere implicazioni aziendali poiché tutti i domini esterni attendibili devono essere inseriti nella whitelist da un amministratore IT“.