Uma nova campanha de engenharia social está utilizando o Microsoft Teams como vetor para disseminar o malware DarkGate, um trojan de acesso remoto (RAT) especializado em roubo de credenciais, keylogging, capturas de tela e gravações de áudio. De acordo com pesquisadores da Trend Micro, os cibercriminosos se passaram por clientes dos usuários-alvo em chamadas realizadas pelo Microsoft Teams para obter acesso remoto aos sistemas das vítimas. O ataque começa com um bombardeio de milhares de e-mails enviados à caixa de entrada da vítima. Em seguida, os atacantes abordam as vítimas no Microsoft Teams, fingindo ser funcionários de fornecedores externos.

Durante a interação, as vítimas são instruídas a instalar o AnyDesk, uma ferramenta legítima de acesso remoto. O AnyDesk é então usado para entregar múltiplos payloads, incluindo um stealer de credenciais e o malware DarkGate. Ativo desde 2018, o DarkGate evoluiu para um modelo de malware-como-serviço (MaaS), com acesso limitado a clientes selecionados. Suas funcionalidades abrangem controle remoto, roubo de credenciais, captura de telas, gravações de áudio e desktop remoto.

No caso analisado, o malware foi entregue por meio de um script AutoIt, uma cadeia de ataque característica do DarkGate. Apesar de o ataque ter sido interrompido antes da exfiltração de dados, ele ilustra o uso crescente de métodos diversificados para acesso inicial e propagação de malware. A Trend Micro recomenda medidas de proteção, como habilitar autenticação multifator (MFA), adotar listas de permissões para ferramentas de acesso remoto, bloquear aplicativos não verificados e realizar avaliações rigorosas de fornecedores de suporte técnico terceirizados.