Просто, но действенно
Хакеры превращают платформу коммуникаций Microsoft Teams в средство распространения вредоносного ПО, утверждают исследователи компании Avanan, входящей в группу Check Point. Злоумышленники сбрасывают в чаты на платформе исполняемые файлы, оказывающиеся вредоносными.
Атаки, по данным исследователей, начались в январе 2022 г., и с тех пор компания отметила уже тысячи инцидетнов. Большая часть из них произошла на северо-востоке США, в регионе вокруг Великих озер. Основные пострадавшие — локальные СМИ.
Исполняемый файл часто носит название UserCentric.exe — относительно наивная, но действенная приманка.
При запуске вредонос вписывает данные в системный реестр, устанавливает DLL и обеспечивает себе продолжительное присутствие вWindows, создавая нужную запись в системном реестре или вписываясь в папку автозапуска.
Тысячи атак производятся через Microsoft Teams
Этот вредонос обеспечивает злоумышленникам контроль над компьютером жертвы. Вредонос собирает подробную информацию об операционной системе и аппаратной составляющей, а также о версии ОС и установленных патчах — по-видимому, таким образом проверяется защищенность системы.
Каким именно образом злоумышленники проникают в закрытые чаты Microsoft Teams, пока остается загадкой. Исследователи предполагают, что хакеры используют украденные реквизиты доступа к электронной почте, которые получают через фишинг или предварительную компрометацию других компаний.
Слишком доверчивые пользователи
По утверждениям экспертов Avanan, проблема заключается в том, что пользователи Microsoft Teams слишком часто доверяют файлам, передаваемым через чаты. И даже если они знают, что исполняемые файлы, пришедшие, например, по электронной почте запускать опасно, на Teams это знание как будто не распространяется.
Игорь Якимов, «Т Плюс»: Мы в начале масштабной роботизации Интеграция
Специалисты полагают, что защитные решения, покрывающие все виды бизнес-коммуникаций, которые автоматически помещают любые скачанные файлы в изолированные среды («песочницы») помогут защититься от подобных атак. Пользователям же рекомендовано обращаться к ИТ-отделу, когда они видят в Microsoft Teams незнакомые файлы.
«Собственная защита Microsoft Teams тоже не слишком эффективна от подобных атак: механизм приглашения дополнительных участников очень прост, автоматическая проверка файлов и ссылок на вредоносность не реализована пока по крайней мере, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Далеко не все внешние защитные решения обеспечивают безопасность Microsoft Teams, так что подобные атаки вполне могут получить распространение, если не принять меры».
