DarkGate-Malware verbreitet sich als PDF getarnt über Messaging-Dienste
Eine als DarkGate bekannte Malware verbreitet sich offenbar über Instant-Messaging-Plattformen wie Skype und Microsoft Teams. Bei diesen Angriffen werden die Messaging-Apps genutzt, um ein Visual Basic for Applications (VBA)-Loader-Skript zu übermitteln, das sich als PDF-Dokument tarnt und beim Öffnen den Download und die Ausführung eines AutoIt-Skripts auslöst, mit dem die Malware gestartet wird.
In einer kürzlich von Trend Micro veröffentlichten Analyse konnte nicht mit Bestimmtheit geklärt werden, wie die ursprünglichen Konten der Instant-Messaging-Anwendungen kompromittiert wurden. Es wird jedoch vermutet, dass dies entweder auf durchgesickerte Anmeldeinformationen zurückzuführen ist, die in Untergrundforen verfügbar sind, oder auf eine frühere Kompromittierung der Mutterorganisation.
DarkGate, erstmals im November 2018 von Fortinet dokumentiert, ist eine Art von Commodity-Malware, die eine breite Palette von Funktionen bietet. Dazu gehören das Sammeln sensibler Daten von Webbrowsern, das Durchführen von Kryptowährungs-Mining sowie die Ermöglichung der Fernsteuerung der infizierten Hosts durch ihre Betreiber. Zudem dient sie als Download-Plattform für weitere Schadsoftware wie Remcos RAT.
Social-Engineering-Kampagnen, welche die Malware verbreiten, haben in den letzten Monaten stark zugenommen. Dabei werden Einsteigertaktiken wie Phishing-E-Mails und Suchmaschinenoptimierung (SEO) eingesetzt, um ahnungslose Benutzer zur Installation der Malware zu verleiten. Der Anstieg folgt auf die Entscheidung des Malware-Autors, die Malware in Untergrundforen zu bewerben und sie als Malware-as-a-Service an andere Bedrohungsakteure zu vermieten, nachdem er sie jahrelang ausschließlich selbst genutzt hatte.
Bereits Anfang September machte Truesec darauf aufmerksam, dass Microsoft Teams-Chatnachrichten als Verbreitungsweg für DarkGate genutzt werden. Dies weist darauf hin, dass wahrscheinlich bereits mehrere Bedrohungsakteure diese Methode einsetzen. Die meisten Angriffe wurden in Nord- und Südamerika entdeckt, gefolgt von Asien, dem Nahen Osten und Afrika, so Trend Micro.
Der gesamte Infektionsprozess, bei dem Skype und Teams ausgenutzt werden, ähnelt stark einer Malspam-Kampagne, die Telekom Security Ende August 2023 gemeldet hat. Die einzige Ausnahme ist die Änderung des ursprünglichen Zugangs. Trend Micro-Forscher erklärten: „Der Bedrohungsakteur missbrauchte das Vertrauen zwischen den beiden Organisationen, um den Empfänger dazu zu verleiten, das angehängte VBA-Skript auszuführen. Der Zugriff auf das Skype-Konto des Opfers ermöglichte es dem Angreifer, einen laufenden Nachrichtenverlauf zu übernehmen und die Dateinamen so anzupassen, dass sie sich auf den Kontext des Chats bezogen.“ Das VBA-Skript dient als Kanal, um die legitime AutoIt-Anwendung (AutoIt3.exe) und ein zugehöriges AutoIT-Skript abzurufen, das für den Start der DarkGate-Malware verantwortlich ist.
In einer alternativen Angriffssequenz versenden die Angreifer eine Microsoft Teams-Nachricht, die einen ZIP-Archivanhang enthält. Dieses ZIP-Archiv wiederum enthält eine LNK-Datei, die dazu dient, ein VBA-Skript auszuführen, um AutoIt3.exe herunterzuladen und das DarkGate-Artefakt zu aktivieren.
Die Forscher stellen fest, dass Cyberkriminelle diese Methode nutzen können, um verschiedene Arten von Malware auf Systemen zu platzieren, darunter Informationsdiebe, Ransomware, schädliche oder missbräuchlich verwendete Remote-Management-Tools und Kryptowährungs-Miner. Solange die Nutzung externer Messaging-Anwendungen erlaubt ist oder der Missbrauch vertrauenswürdiger Beziehungen durch kompromittierte Konten nicht unterbunden wird, bleibt diese Erstinfizierung über Instant-Messaging-Anwendungen auch weiterhin möglich.