DarkGate üzeneteken át
A Trend Micro szerint a DarkGate visszaél a Skype és a Teams üzenetküldő platformokkal és célzott, aktív kampányokat indít. A trend Micro által TrojanSpy.AutoIt.DARKGATE.AA néven azonosított kártékony kód, üzenetküldő platformokkal visszaélve VBA-betöltő szkriptet juttat el az áldozatokhoz.
A kampány szoros figyelemmel kísérése során azt tapasztalták, hogy a legtöbb DarkGate támadást az amerikai régióban észlelték, amelyet szorosan követett Ázsia, a Közel-Kelet és Afrika.
A Trend Micro által vizsgált mintából a fenyegetés szereplője visszaélt két szervezet közötti bizalmi kapcsolattal, hogy megtévessze a címzettet a mellékelt VBA-szkripttel. Az áldozat Skype-fiókjához való hozzáférés lehetővé tette a színész számára, hogy eltérítsen egy meglévő üzenetküldő szálat, és úgy alakítsa ki a fájlok elnevezési konvencióját, hogy kapcsolódjon a csevegési előzményekhez. Az áldozatok egy feltört Skype-fiókról kaptak egy üzenetet, amely egy megtévesztő VBS-szkriptet tartalmazott, a következő formátumú fájlnévvel: <fájlnév.pdf> www.skype[.]vbs. A fájlnévben lévő szóköz arra készteti a felhasználót, hogy azt higgye, hogy a fájl .PDF dokumentum, miközben a valódi formátumot www.skype[.]vbs néven rejti el.