DarkGate恶意软件通过Microsoft Teams账户传播的新潮流

关键要点

• DarkGate恶意软件 自2017年底以来逐渐引起关注，最近通过钓鱼活动 及恶意广告 传播力度加大。
• 研究表明，DarkGate的开发者试图扩大其会员网络 ，以每年10万美元 的价格提供此恶意软件作为服务 。
• 针对Microsoft Teams 的安全防护措施未能有效阻止此次攻击，提醒用户需加强对外部消息的安全意识。

研究人员最近发现，DarkGate 这一复杂的恶意软件分发量大幅增加，主要通过钓鱼活动 利用被攻陷的MicrosoftTeams账户 进行传播。尽管DarkGate自2017年底便已存在，但直到今年年中才开始广为人知，此时其改进版恶意软件通过电子邮件钓鱼 和恶意广告 活动进行分发。

这一活动激增与开发者试图扩大其会员网络 有关，他们以每年10万美元的价格将DarkGate作为一种勒索软件即服务 进行销售。

在9月6日的博客文章 中，Trusec的高级网络安全顾问Jakob Nordenlund 表示，公司的事件响应团队观察到，被攻陷的Microsoft 365账户 通过Teams聊天发送恶意文件链接，作为DarkGate载体的钓鱼活动之一。

受害者被诱导打开一个声称是公司员工假期安排的ZIP文件。该文件实际包含一个伪装成PDF文档的恶意LNK（快捷方式）文件。一旦点击，该恶意代码会在目标系统上执行DarkGate病毒。

Nordenlund在文章中提到，外部聊天消息之所以能够被检测到，正是因为收件人接受过安全意识培训 。“不幸的是，目前的MicrosoftTeams安全功能如或无法检测或阻止此次攻击，”他说。

“目前，预防Microsoft Teams中此类攻击的唯一方法是仅允许来自的聊天请求，尽管这可能对业务产生影响，因为所有受信任的外部域都需要由IT管理员添加到白名单中。”

早在六月份，Jumsec 的研究人员就提出过类似的问题，强调威胁行为者可以在不同的Microsoft “租户”（公司环境）之间发送Teams消息的潜在风险。然而，微软仍称这种租户间的Teams消息传递是“功能而非漏洞”，并和Nordenlund一样表示，其客户可以屏蔽或限制接入的外部消息。

以黑暗网络风格推广业务

上个月，威胁分析师0xToxin 和德意志电信安全分析师Fabian Marquardt 都发布了使用DarkGate作为载体的新电子邮件钓鱼活动 ，与此同时，Malwarebytes 的威胁情报总监JérômeSegura 则解析了DarkGate的。

在两个月前，ZeroFox 发布了一条来自名为**“RastaFarEye”** 的威胁行为者的，该人物似乎是DarkGate的开发者。

该帖子称自2017年以来，他们已花费超过20,000小时开发该恶意软件，并将其描述为“渗透测试者/红队员的终极工具”。该威胁行为者表示正向少数新加盟者提供DarkGate，并称已有“4/10个名额可供申请”。使用该恶意软件的价格为每日1000美元、每月15,000美元或每年100,000美元。

帖子中提到：“我们添加