Kwaadwillenden gebruiken gekaapte Teams- en Skype-accounts om malware in omloop te brengen. Antivirusbedrijf Trend Micro heeft dit recentelijk bekendgemaakt.
Visual Basic-script
Wanneer de hackers zich toegang tot een account hebben weten te verschaffen, liften ze mee op een bestaand gesprek. Ze verzenden een zogenaamde overeenkomst in pdf-formaat. In werkelijkheid is het echter een Visual Basic-script dat kwaadaardige software installeert. Om het slachtoffer te misleiden, maken de cybercriminelen gebruik van een bestandsnaam die begint met naam.pdf gevolgd door spaties en www.skype.vbs. Bij aanvallen via Teams gebruiken ze een dubbele extensie die met .lnk begint, bijvoorbeeld Position_Guidelines.pdf.lnk. Ook dit bestand installeert malware.
DarkGate
Het gaat om de malware DarkGate. Eenmaal geïnstalleerd kan deze remote access software installeren, waaronder AnyDesk. Ook kan de malware het geïnfecteerde systeem voor cryptomining gebruiken, toetsaanslagen opslaan en informatie uit browsers stelen. Het is vooralsnog niet bekend hoe de initieel gebruikte Teams- en Skype-accounts gekaapt konden worden. Mogelijk zijn de inloggegevens op internet gekocht of bij een eerdere aanval op de aangevallen organisatie buitgemaakt.
Klik hier voor het bericht van Trend Micro.