一个新的社交工程活动利用微软团队（Microsoft Teams）作为一种方式，促进了一种名为 “黑暗之门”（DarkGate）的已知恶意软件的部署。

趋势科技研究人员 Catherine Loveria、Jovit Samaniego 和 Gabriel Nicoleta 表示：“攻击者通过 Microsoft Teams 通话使用社交工程技术冒充用户的客户端，远程访问他们的系统。”

“攻击者未能安装微软远程支持应用程序，但成功指示受害者下载了AnyDesk，这是一种常用的远程访问工具。”

正如网络安全公司 Rapid7 最近记录的那样，这次攻击涉及用 “成千上万封电子邮件 ”轰炸目标的电子邮件收件箱，之后，威胁者通过 Microsoft Teams 伪装成外部供应商的一名员工接近目标。

攻击者随后指示受害者在他们的系统上安装 AnyDesk，远程访问随后被滥用来传输多个有效载荷，包括一个凭证窃取程序和 DarkGate 恶意软件。

DarkGate 是一种远程访问木马（RAT），自 2018 年以来在野外被积极使用，后来发展成为一种恶意软件即服务（MaaS）产品，客户数量受到严格控制。其功能多种多样，包括窃取凭证、键盘记录、屏幕捕捉、录音和远程桌面。

对过去一年中各种 DarkGate 活动的分析表明，已知它是通过采用 AutoIt 和 AutoHotKey 脚本的两个不同攻击链传播的。在趋势科技检查的事件中，恶意软件是通过 AutoIt 脚本部署的。

虽然这次攻击在发生任何数据外渗活动之前就被阻止了，但这些发现表明威胁行为者正在使用一系列不同的初始访问路径来传播恶意软件。

建议各组织启用多因素身份验证 (MFA)，允许使用经批准的远程访问工具，阻止未经验证的应用程序，并彻底审查第三方技术支持提供商，以消除网络钓鱼风险。

随着各种网络钓鱼活动的激增，这些活动利用各种诱饵和伎俩诱骗受害者提供他们的数据。

• 以 YouTube 为中心的大规模活动：不良分子假冒流行品牌，通过电子邮件向内容创作者寻求潜在的促销、合作建议和营销合作，并敦促他们点击链接签署协议，最终导致 Lumma Stealer 的部署。YouTube 频道的电子邮件地址是通过解析器提取的。
• 利用含有二维码附件的 PDF 附件的网络钓鱼电子邮件开展网络钓鱼活动，扫描后会将用户引导至虚假的 Microsoft 365 登录页面以获取凭证。
• 网络钓鱼攻击利用与 Cloudflare 页面和 Workers 相关联的信任，建立模仿 Microsoft 365 登录页面和虚假 CAPTCHA 验证检查的虚假网站，以进行所谓的审查或下载文档。
• 使用 HTML 电子邮件附件进行网络钓鱼攻击，这些附件伪装成发票或人力资源政策等合法文档，但包含嵌入式 JavaScript 代码，用于执行恶意操作，如将用户重定向到钓鱼网站、获取凭据，以及以修复错误为借口欺骗用户运行任意命令（即 ClickFix）。
• 利用可信平台（如 Docusign、Adobe InDesign 和 Google Accelerated Mobile Pages (AMP)）让用户点击恶意链接以获取凭证的电子邮件钓鱼活动。
• 自称来自 Okta 支持团队的网络钓鱼企图，目的是获取用户的凭据并入侵组织的系统。
• 通过 WhatsApp 发布针对印度用户的网络钓鱼信息，指示接收者为安卓设备安装可窃取财务信息的恶意银行或实用程序。

据了解，威胁行为者还会迅速利用全球事件，将其纳入网络钓鱼活动，往往利用紧迫感和情绪反应来操纵受害者，说服他们采取意想不到的行动。这些活动还辅以特定事件关键词的域名注册。

Palo Alto Networks 第 42 部门表示：“包括体育锦标赛和产品发布会在内的高调全球活动，吸引了网络犯罪分子试图利用公众的兴趣。这些犯罪分子模仿官方网站注册欺骗性域名，销售假冒商品并提供欺诈性服务。”

“通过监控域名注册、文本模式、DNS异常和变更请求趋势等关键指标，安全团队可以及早识别和缓解威胁。”