DarkGate恶意软件通过附加在钓鱼邮件中的Excel文档传播

思科Talos的研究人员称，一场钓鱼活动正在使用新技术传播DarkGate恶意软件，以规避安全过滤器。

研究人员解释说：“DarkGate恶意软件家族以其隐蔽的传播技术、窃取信息的能力、逃避策略以及对个人和组织的广泛影响而著称。” “最近观察到DarkGate通过Microsoft Teams甚至恶意广告活动分发恶意软件。值得注意的是，在最新的活动中，使用了AutoHotKey脚本而非AutoIT，这表明DarkGate的攻击者不断改变感染链以逃避检测。”

恶意软件通过钓鱼邮件附加的恶意Excel文档进行传播。这些邮件伪装成来自公司CEO，并敦促收件人尽快审阅附件。

研究人员写道：“Talos对这些邮件的意图分析表明，邮件的主要目的涉及财务或正式事务，迫使收件人采取行动打开附件文档。” “当恶意Excel文档被打开时，感染过程即开始。这些文件经过特殊设计，利用一种称为‘远程模板注入’的技术，触发自动下载并执行托管在远程服务器上的恶意内容。”

研究人员解释说，远程模板注入是一种不太常见的策略，更有可能不被安全措施发现。

思科Talos表示：“远程模板注入是一种攻击技术，它利用了Excel的一项合法功能，即可以从外部源导入模板以扩展文档的功能和特性。” “通过利用用户对文档文件固有的信任，这种方法巧妙地避开了安全协议，这些协议对文档模板的限制可能不如对可执行文件严格。它代表了一种攻击者在系统中建立立足点的精妙策略，绕过了对传统可执行恶意软件的需求。”

KnowBe4帮助您的员工每天做出更明智的安全决策。全球超过65,000家组织信任KnowBe4平台来加强其安全文化并降低人为风险。

思科Talos对此有详细报道。