0
0
Uma nova campanha de phishing que aproveita um problema facilmente explorável no Microsoft Teams para entregar malware foi sinalizada por pesquisadores.
Entrega de malware para usuários do Microsoft Teams
No final do mês passado, os pesquisadores da Truesec detectaram duas contas comprometidas do Microsoft 365 enviando mensagens com tema de RH com um anexo malicioso para alvos corporativos.
As duas mensagens eram iguais: alegavam que, por imprevistos, houve alterações no calendário de férias e o destinatário pode ser afetado por elas.
A mensagem de phishing. (Fonte: Truesec)
O arquivo anexado – Alterações no cronograma de férias.zip – é baixado de um site do SharePoint e, uma vez aberto, eventualmente leva à execução de um script AutoIT que inicia o shellcode para carregar o executável do Windows do carregador DarkGate.
O carregador DarkGate existe desde 2017. Inicialmente usado apenas pelo desenvolvedor, recentemente foi disponibilizado para um número limitado de afiliados.
O carregador também possui outros recursos, incluindo: mineração de criptografia, histórico do navegador e roubo de cookies, acesso e controle remoto e muito mais.
Phishing via Microsoft Teams não é novidade
Conforme observado anteriormente, os pesquisadores da Jumpsec descobriram recentemente um bug no Microsoft Teams que pode permitir que os agentes de ameaças entreguem malware nas caixas de entrada dos funcionários, contornando os controles de segurança do lado do cliente que não permitem que inquilinos externos (usuários do M365 fora da organização) enviem arquivos aos funcionários.
Esta via de ataque foi logo facilitada ainda mais pelo lançamento de uma ferramenta que automatiza o processo – e os cibercriminosos e outros atacantes tomaram conhecimento.
“Infelizmente, os recursos de segurança atuais do Microsoft Teams, como Safe Attachments ou Safe Links, não foram capazes de detectar ou bloquear este ataque”, concluiu Jakob Nordenlund, consultor sênior de segurança cibernética da Truesec .
“No momento, a única maneira de evitar esse vetor de ataque no Microsoft Teams é permitir apenas solicitações de bate-papo do Microsoft Teams de domínios externos específicos, embora isso possa ter implicações comerciais, já que todos os domínios externos confiáveis precisam ser incluídos na lista de permissões de um administrador de TI.”
FONTE: HELP NET SECURITY