Новая угроза в Teams: хакеры маскируют вирус под уведомление об отпуске

Обнаружена новая фишинговая схема в Microsoft Teams под кодовым названием «Загрузчик DarkGate». Всё начинается с невинного на первый взгляд сообщения со ссылкой «изменения в расписании отпусков». Любопытно, правда? Стоит вам перейти по ней, скачать и открыть прикреплённый ZIP-архив — и вредоносная программа уже на вашем компьютере.

Троян в корпоративном чате

Эксперты из Truesec следят за этой угрозой с конца августа. Хакеры проделали ювелирную работу: процесс загрузки настолько сложен, что стандартные средства защиты с трудом распознают в файле опасность.

Как же это работает? Злоумышленники взламывают учётные записи Office 365 и через них рассылают заражённые сообщения прямо в Teams. Truesec уже идентифицировала несколько скомпрометированных аккаунтов, например, «Аккаравит Таттаманас» и «АБНЕР ДЭВИД РИВЕРА РОХАС». Получается, угроза приходит якобы от коллеги — кому придёт в голову её игнорировать?

Вредоносная нагрузка спрятана в коварном связке: VBScript, замаскированный под безобидный ярлык Windows (LNK). Особую коварность атаке придаёт использование URL-адреса SharePoint — выглядит солидно и безопасно. А чтобы окончательно сбить с толску системы, код скрыт в середине файла с помощью предварительно скомпилированного скрипта Windows cURL. Хитро, не правда ли?

Но и это не всё. Сценарий умеет определять, установлен ли на вашем ПК антивирус. Если защиты нет, он запускает технику «stacked strings», которая внедряет дополнительный код. Результат? Шелл-код создаёт исполняемый файл DarkGate и загружает его прямо в системную память. После этого ваши данные оказываются в руках злоумышленников. Страшно представить, сколько людей уже могли на это попасться.