一項新的社會工程活動顯示，大量攻擊者利用微軟Teams作為部署已知惡意軟件DarkGate的手段。Trend Micro研究人員Catherine Loveria、Jovit Samaniego和Gabriel Nicoleta表示，“攻擊者通過微軟Teams電話進行社會工程，冒充用戶的客戶并獲得遠程訪問他們系統(tǒng)的權(quán)利。攻擊者未能安裝微軟遠程支持應(yīng)用程序，但成功指示受害者下載AnyDesk，這是一種常用于遠程訪問的工具?！?/p>

據(jù)網(wǎng)絡(luò)安全公司Rapid7最近的報告，攻擊者向目標的電子郵箱發(fā)送數(shù)千封郵件，然后通過微軟Teams假裝成外部供應(yīng)商的員工接觸目標。隨后攻擊者指示受害者在其系統(tǒng)上安裝AnyDesk，遠程訪問隨后被用于傳送多個負載，包括憑據(jù)竊取工具和DarkGate惡意軟件。

自2018年以來一直活躍的DarkGate是一種遠程訪問木馬（RAT），后來演變?yōu)橐环N惡意軟件即服務(wù)（MaaS）產(chǎn)品，其多種功能包括憑據(jù)竊取、鍵盤記錄、屏幕捕捉、音頻錄制和遠程桌面。過去一年針對DarkGate活動的分析表明，該惡意軟件已通過使用AutoIt和AutoHotKey兩條不同的攻擊鏈進行分發(fā)。在Trend Micro檢查的事件中，惡意軟件可通過一個名為AutoIt腳本進行部署。

雖然在任何數(shù)據(jù)外泄活動發(fā)生之前攻擊已被阻止，但這些發(fā)現(xiàn)表明攻擊者如何使用多種初始訪問途徑傳播惡意軟件。因此安全專家建議組織啟用多因素身份驗證（MFA）、將批準的遠程訪問工具列入白名單、阻止未驗證的應(yīng)用程序，并徹底審核第三方技術(shù)支持提供商以消除語音釣魚風險。

該事態(tài)進展正值各類網(wǎng)絡(luò)釣魚活動激增之時，這些活動利用各種誘惑和技巧欺騙受害者對信息進行泄露：

一個大規(guī)模的YouTube定向活動中，假裝成知名品牌，通過電子郵件聯(lián)系內(nèi)容創(chuàng)作者，試圖進行潛在的推廣、合作提案和市場合作，并敦促他們點擊鏈接簽署協(xié)議，部署Lumma Stealer。

一場利用附帶PDF文件的網(wǎng)絡(luò)釣魚郵件的活動，該PDF內(nèi)含有一個二維碼，用戶掃描后會被引導(dǎo)到一個假的Microsoft 365登錄頁面以竊取憑據(jù)。

利用Cloudflare Pages和Workers的信任設(shè)置假網(wǎng)站，模仿Microsoft 365的登錄頁面和假的CAPTCHA驗證，號稱為查看或下載文檔。

使用HTML電子郵件附件偽裝成合法文檔如發(fā)票或人力資源政策但含有嵌入的JavaScript代碼，以執(zhí)行惡意操作如引導(dǎo)用戶訪問釣魚網(wǎng)站、竊取憑據(jù)，以及在修復(fù)錯誤的名義下誘使用戶運行任意命令。

利用可靠平臺如Docusign、Adobe InDesign和Google Accelerated Mobile Pages (AMP)的電子郵件網(wǎng)絡(luò)釣魚活動，誘騙用戶點擊旨在竊取其憑據(jù)的惡意鏈接。

聲稱來自O(shè)kta支持團隊的網(wǎng)絡(luò)釣魚企圖，以獲取用戶憑據(jù)并入侵組織系統(tǒng)。

針對印度用戶的網(wǎng)絡(luò)釣魚信息通過WhatsApp分發(fā)，指示接收者安裝惡意銀行或用于Android設(shè)備的實用程序應(yīng)用程序，能夠竊取財務(wù)信息。攻擊者也往往迅速利用全球事件，將其納入到他們的網(wǎng)絡(luò)釣魚活動中，通常抓住緊迫性和情感反應(yīng)操作受害者，誘使他們執(zhí)行意外操作。這些活動還伴隨有域名注冊，使用與事件相關(guān)的關(guān)鍵詞。

“備受矚目的全球事件，包括體育錦標賽和產(chǎn)品發(fā)布，會吸引網(wǎng)絡(luò)罪犯試圖利用公眾的興趣，”Palo Alto Networks Unit 42表示，“這些罪犯注冊欺騙性域名模仿官方網(wǎng)站，以出售假冒商品和提供欺詐服務(wù)?！?/p>