据观察，一种名为“黑暗之门”的恶意软件正在通过Skype和Microsoft Teams等即时通讯平台传播。

在这些攻击中，消息传递应用程序用于提供伪装成 PDF 文档的 Visual Basic for Applications （VBA） 加载程序脚本，该脚本在打开时会触发旨在启动恶意软件的 AutoIt 脚本的下载和执行。

趋势科技在周四发表的一份新的分析报告中说：“目前还不清楚即时通讯应用程序的原始帐户是如何被泄露的，但据推测，要么是通过地下论坛泄露的凭证，要么是上级组织以前的妥协。”

2018年11月，Fortinet首次记录了DarkGate，它是一种商品恶意软件，整合了广泛的功能，从网页浏览器中获取敏感数据，进行加密货币挖掘，并允许其操作员远程控制受感染的主机。它还可以作为其他有效载荷（如Remcos RAT）的下载器。

最近几个月，分发恶意软件的社会工程活动激增，利用网络钓鱼邮件和搜索引擎优化(SEO)中毒等初始进入策略，诱使无意中的用户安装恶意软件。

该恶意软件作者决定在地下论坛上宣传该恶意软件，并在私下使用多年后，以恶意软件即服务的方式将其出租给其他威胁参与者。

上个月初，Truesec曾强调使用Microsoft Teams聊天消息作为DarkGate的传播载体，这表明它很可能被几个威胁者所使用。

根据趋势科技的数据，大多数攻击发生在美洲，紧随其后的是亚洲、中东和非洲。

滥用Skype和Teams的整体感染过程非常类似于德国电信安全公司在2023年8月下旬报告的垃圾邮件活动，除了初始访问路由的变化。

“威胁演员滥用两个组织之间的信任关系，欺骗收件人执行附加的VBA脚本，”趋势科技研究人员Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh, 还有 David Walsh。

“通过访问受害者的Skype帐户，该演员可以劫持现有的消息线程，并制定与聊天历史上下文相关的文件命名约定。”

VBA脚本用作获取合法AutoIt应用程序（AutoIt 3.exe）和负责启动DarkGate恶意软件的关联AutoIT脚本的管道。

另一种攻击序列涉及攻击者发送包含ZIP存档附件的Microsoft Teams消息，该ZIP存档附件带有LNK文件，而该LNK文件旨在运行VBA脚本以检索AutoIt3.exe和DarkGate工件。

“网络犯罪分子可以使用这些有效载荷感染系统与各种类型的恶意软件，包括信息窃取，勒索软件，恶意和/或滥用远程管理工具，和加密货币矿工，”研究人员说。

“只要外部消息是允许的，或者通过泄露账户滥用信任关系未被检查，那么这种初始登录技术可以在任何即时通讯（IM）应用程序上进行。”