اكتشفت Trend Micro مؤخرًا حملة DarkGate (باسم TrojanSpy.AutoIt.DARKGATE.AA ) والتي تسيء استخدام منصات المراسلة الفورية  Skype وTeams لتقديم برنامج نصي ضار (DarkGate) إلى الضحايا. ليس من الواضح كيف تم اختراق الحسابات الأصلية لتطبيقات المراسلة الفورية، ولكن من المفترض أن يكون ذلك إما من خلال بيانات الاعتماد المسربة المتاحة من خلال المنتديات السرية أو التسوية السابقة للمؤسسة الأم.

يستخدم DarkGate أداة برمجة نصية وأتمتة خاصة بنظام التشغيل Windows تسمى AutoIt لتقديم وتنفيذ قدراته الضارة. على الرغم من كونها أداة شرعية، فقد تم إساءة استخدام AutoIt بشكل متكرر من قبل عائلات البرامج الضارة الأخرى للتهرب من الدفاع وإضافة طبقة تشويش.

يتمتع DarkGate بالعديد من الميزات، بما في ذلك القدرة على تنفيذ الإجراءات التالية:

- تنفيذ أوامر الاكتشاف (بما في ذلك اجتياز الدليل)
- التحديث الذاتي والإدارة الذاتية
- تنفيذ برامج الوصول عن بعد (مثل بروتوكول سطح المكتب البعيد أو RDP أو حوسبة الشبكة الافتراضية المخفية أو hVNC وAnyDesk)
- تمكين وظيفة تعدين العملات المشفرة (البدء والإيقاف والتكوين)
- تنفيذ تسجيل المفاتيح
- سرقة المعلومات من المتصفحات
- تصعيد الامتياز

تم اكتشاف الهجوم واحتوائه قبل أن يتمكن الفاعل من تحقيق أهدافه. ومع ذلك، فقد لاحظت ترند ميكرو أنه نظرًا لتوجه المهاجم السابق نحو الإعلان عن DarkGate وتأجيره، فقد تختلف أهداف المهاجم، اعتمادًا على الشركات التابعة المعنية.

في الحالة الرئيسية التي تمت مناقشتها، تم استخدام تطبيق Skype بشكل قانوني للتواصل مع موردي الطرف الثالث، مما يسهل اختراق و/أو إغراء المستخدمين للوصول إلى الملف الضار. كان المتلقي مجرد الهدف الأولي للحصول على موطئ قدم في البيئة. لا يزال الهدف هو اختراق البيئة بأكملها، 

يجب أن تتحكم المؤسسة في تطبيقات المراسلة الفورية لفرض قواعد مثل حظر المجالات الخارجية، والتحكم في المرفقات، وتنفيذ المسح إن أمكن، كما يوصى بشدة بالمصادقة متعددة العوامل (MFA) لتأمين التطبيقات (بما في ذلك تطبيقات المراسلة الفورية) في حالة اختراق بيانات الاعتماد الصالحة، وهذا يحد من الانتشار المحتمل للتهديدات باستخدام هذه الوسائل.

تعد القائمة المسموح بها للتطبيقات آلية دفاعية جيدة للنشر على المضيفين من خلال السياسات وتضمن أنه لا يمكن للمستخدمين النهائيين سوى الوصول إلى تطبيقات معينة وتنفيذها.

يجب على المؤسسات إجراء وتنفيذ أساليب إعلامية بشكل منتظم لرفع الوعي الأمني ​​للمستخدم بين الموظفين بشكل مستمر أثناء التدريب. والأهم من ذلك، أن الهدف هو تمكين الأشخاص من التعرف على أحدث التهديدات وحمايتهم منها. 

تسلط هذه الحالة الضوء على أهمية المراقبة والدفاع والكشف المتعمق على مدار الساعة طوال أيام الأسبوع عبر Trend Micro™ Managed XDR ، المضمن في Trend Service One™، نظرًا لاستجابة محللي الأمن لدى الشركة لاكتشاف. ويجب على المؤسسات أيضًا أن تأخذ بعين الاعتبار Trend Vision One™ ، الذي يوفر القدرة على اكتشاف التهديدات والاستجابة لها عبر طبقات أمنية متعددة. ويمكنه عزل نقاط النهاية، التي غالبًا ما تكون مصدر العدوى، حتى يتم تنظيفها بالكامل، أو حتى يتم التحقيق.