Malware DarkGate Menyebar melalui Layanan Pesan Menyamar sebagai File PDF

 Sepotong malware yang dikenal sebagai DarkGate telah diamati menyebar melalui platform pesan instan seperti Skype dan Microsoft Teams.

 Dalam serangan ini, aplikasi perpesanan digunakan untuk mengirimkan skrip pemuat Visual Basic for Applications (VBA) yang menyamar sebagai dokumen PDF, yang ketika dibuka, memicu pengunduhan dan eksekusi skrip AutoIt yang dirancang untuk meluncurkan malware.

 “Tidak jelas bagaimana akun asal aplikasi pesan instan itu bisa disusupi, namun ada hipotesis bahwa hal itu terjadi melalui kebocoran kredensial yang tersedia melalui forum bawah tanah atau kompromi sebelumnya dari organisasi induk,” kata Trend Micro dalam analisis baru yang diterbitkan Kamis.

DarkGate, pertama kali didokumentasikan oleh Fortinet pada bulan November 2018, adalah malware komoditas yang menggabungkan berbagai fitur untuk mengambil data sensitif dari browser web, melakukan penambangan mata uang kripto, dan memungkinkan operatornya mengontrol host yang terinfeksi dari jarak jauh.

 Ini juga berfungsi sebagai pengunduh payload tambahan seperti Remcos RAT. Kampanye rekayasa sosial yang mendistribusikan malware tersebut mengalami lonjakan dalam beberapa bulan terakhir, memanfaatkan taktik masuk awal seperti email phishing dan keracunan optimasi mesin pencari (SEO) untuk menarik pengguna tanpa disadari agar menginstalnya.

 Peningkatan ini mengikuti keputusan pembuat malware untuk mengiklankan malware tersebut di forum bawah tanah dan menyewakannya dengan basis malware-as-a-service kepada pelaku ancaman lain setelah bertahun-tahun menggunakannya secara pribadi.

 Penggunaan pesan obrolan Microsoft Teams sebagai vektor propagasi untuk DarkGate sebelumnya disorot oleh Truesec awal bulan lalu, yang menunjukkan bahwa pesan tersebut kemungkinan dimanfaatkan oleh beberapa pelaku ancaman.

Mayoritas serangan terdeteksi di Amerika, diikuti oleh Asia, Timur Tengah, dan Afrika, menurut Trend Micro. Prosedur infeksi keseluruhan yang menyalahgunakan Skype dan Teams sangat mirip dengan kampanye malspam yang dilaporkan oleh Telekom Security pada akhir Agustus 2023, kecuali perubahan pada rute akses awal.

 “Pelaku ancaman menyalahgunakan hubungan saling percaya antara kedua organisasi untuk menipu penerima agar mengeksekusi skrip VBA yang terlampir,” kata peneliti Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh, dan David Walsh.

“Akses ke akun Skype korban memungkinkan pelaku untuk membajak thread pesan yang ada dan membuat konvensi penamaan file agar berhubungan dengan konteks riwayat obrolan.” Skrip VBA berfungsi sebagai saluran untuk mengambil aplikasi AutoIt yang sah (AutoIt3.exe) dan skrip AutoIT terkait yang bertanggung jawab untuk meluncurkan malware DarkGate.

 Urutan serangan alternatif melibatkan penyerang mengirimkan pesan Microsoft Teams yang berisi lampiran arsip ZIP berisi file LNK yang, pada gilirannya, dirancang untuk menjalankan skrip VBA untuk mengambil AutoIt3.exe dan artefak DarkGate.

 “Penjahat dunia maya dapat menggunakan muatan ini untuk menginfeksi sistem dengan berbagai jenis malware, termasuk pencuri informasi, ransomware, alat manajemen jarak jauh yang berbahaya dan/atau disalahgunakan, dan penambang mata uang kripto,” kata para peneliti.

 “Selama pesan eksternal diperbolehkan, atau penyalahgunaan hubungan tepercaya melalui akun yang disusupi tidak dicentang, maka teknik entri awal ini dapat dilakukan ke dan dengan aplikasi pesan instan (IM) apa pun.”