Nowe cyberzagrożenie nakierowane na użytkowników MS Teams

Badacze z firmy Avanan informują, że cyberprzestępcy atakują użytkowników MS Teams poprzez załączanie na czacie dokumentów ze złośliwymi plikami wykonywalnymi. Pliki zapisują dane w rejestrze systemu Windows, instalują pliki DLL i tworzą łącza skrótów, które pozwalają programowi na samodzielne administrowanie. Avanan zweryfikował już tysiące takich ataków w ostatnim miesiącu, gdzie hakerzy dołączali złośliwy dokument z trojanem do wątku czatu. Po kliknięciu plik ostatecznie przejmuje kontrolę nad komputerem użytkownika. Korzystając z pliku wykonywalnego lub pliku zawierającego instrukcje uruchamiania systemu, hakerzy instalują zazwyczaj biblioteki złośliwych plików (DLL), które umożliwiają programowi samodzielne administrowanie i przejmowanie kontroli nad komputerem. Dołączając plik w MS Teams, hakerzy znaleźli nowy sposób łatwego atakowania milionów użytkowników. Pierwszym krokiem jest uzyskanie dostępu do aplikacji MS Teams. Hakerzy mają na to wiele sposobów. Mogą skompromitować organizację i podsłuchiwać rozmowy między podmiotami. Mogą również włamać się na konto służbowe i użyć adresu e-mail do uzyskania dostępu do aplikacji MS Teams. Bardzo często pozyskiwane są dane uwierzytelniające Microsoft 365 z różnych kampanii phishingowych, przez co hakerzy uzyskują dostęp do usługi Teams i reszty pakietu Office, właściwie bez ograniczeń. Biorąc pod uwagę, że hakerzy są dość biegli w przejmowaniu kont Microsoft 365 przy użyciu tradycyjnych metod phishingu, nauczyli się, że te same dane uwierzytelniające działają w przypadku usługi Teams. Poza tym, wchodząc do organizacji, atakujący zwykle wiedzą, jaka technologia jest używana do jej ochrony. Oznacza to, że będą również wiedzieć, jakie złośliwe oprogramowanie ominie istniejące zabezpieczenia. Ten problem potęguje fakt, że brakuje domyślnych zabezpieczeń aplikacji MS Teams, ponieważ skanowanie w poszukiwaniu złośliwych linków i plików jest ograniczone. Co więcej, wiele rozwiązań zabezpieczających pocztę e-mail nie zapewnia solidnej aplikacji MS Teams. Hakerzy, którzy mogą uzyskać dostęp do kont MS Teams za pośrednictwem ataków east-west lub wykorzystując dane uwierzytelniające, pozyskane w innych atakach phishingowych, mają pełną swobodę w przeprowadzaniu ataków na miliony niczego niepodejrzewających użytkowników. Co więcej, użytkownicy końcowi mają nieodłączne zaufanie do platformy. Na przykład analiza firmy Avanan przeprowadzona wśród szpitali korzystających z usługi MS Teams wykazała, że ​​lekarze udostępniają informacje medyczne pacjentów praktycznie bez ograniczeń na platformie MS Teams. Personel medyczny na ogół zna zasady bezpieczeństwa i ryzyko związane z udostępnianiem informacji za pośrednictwem poczty e-mail, ale ignoruje je, jeśli chodzi o MS Teams. Co więcej, prawie każdy użytkownik może zapraszać osoby z innych działów i często występuje minimalny nadzór, gdy zaproszenia są wysyłane lub odbierane od innych firm. Z powodu nieznajomości platformy MS Teams wielu użytkowników po prostu zaufa i zatwierdzi wysłane zaproszenia i prośby. W organizacji użytkownik może bardzo łatwo udawać kogoś innego, niezależnie od tego, czy jest to dyrektor generalny, dyrektor finansowy, czy pracownik działu IT. Większość pracowników w organizacjach została przeszkolona w prawidłowej weryfikacji tożsamości w wiadomościach e-mail, ale niewielu wie, jak upewnić się, że nazwa i zdjęcie, które widzą w rozmowie w usłudze MS Teams, są prawdziwe. Łatwo jest edytować profil i stać się kimkolwiek, kim chce się być. Dlatego gdy ktoś dołącza plik do czatu w aplikacji MS Teams, szczególnie z nieszkodliwie brzmiącą nazwą pliku „User Centric”, wielu użytkowników nie zastanawia się dwa razy i po prostu klika. Ten atak pokazuje, że hakerzy zaczynają rozumieć i lepiej wykorzystywać MS Teams jako potencjalny wektor ataku. Ponieważ użycie MS Teams nadal rośnie, firma Avanan spodziewa się znacznego wzrostu liczby tego rodzaju ataków.

Wskazówki i zalecenia.  Chcąc zabezpieczyć się przed tego typu atakami, specjaliści ds. bezpieczeństwa mogą między innymi zaimplementować ochronę Sandbox dla wszystkich pobieranych plików, która sprawdza je pod kątem złośliwej zawartości.