Hackerii au descoperit o metodă prin care pot exploata platforma Microsoft Teams pentru a obține acces de la distanță la sistemele utilizatorilor. Această metodă, identificată de Trend Micro, evidențiază rafinamentul tot mai mare al atacurilor de inginerie socială utilizate de criminalii cibernetici.
TL;DR
- Hackerii folosesc Microsoft Teams pentru a manipula victimele să acorde acces de la distanță la dispozitivele lor.
- Atacul include phishing și interacțiuni false pe platforme de comunicare.
- Utilizarea programului AnyDesk pentru acces de la distanță a fost esențială.
- Nu s-au produs pierderi de date sensibile datorită interceptării rapide.
- Angajații trebuie instruiți corespunzător pentru a evita astfel de atacuri.
Exploit-ul Microsoft Teams
Hackerii au reușit să exploateze platforma Microsoft Teams, manipulând victimele să ofere acces de la distanță la sistemele lor. Conform analizei efectuate de Trend Micro, atacul începe cu un val de e-mailuri de phishing. După această fază, agresorul pretinde a fi un angajat al unui client de încredere și contactează victima printr-un apel pe Microsoft Teams.
În timpul acestei conversații, victima este instruită să descarce o aplicație de suport la distanță, propusă inițial ca fiind Microsoft Remote Support. Odată ce descărcarea de pe Microsoft Store eșuează, atacatorul trece la AnyDesk, un instrument legitim pentru desktop la distanță, frecvent exploatat de criminalii cibernetici.
Activitatea malițioasă
Odată ce AnyDesk este instalat, atacatorul câștigă controlul asupra mașinii victimei și implementează diverse fișiere suspecte, inclusiv Trojan.AutoIt.DARKGATE.D. Această activitate este facilitată de un script AutoIt, care permite controlul de la distanță al sistemului și conectarea la un server de comandă și control (C2).
Tehnici de evitare a detectării
Programul malițios execută comenzi pentru a colecta informații detaliate despre sistem și rețea, salvând datele pentru recunoașterea ulterioară. Sunt utilizate tehnici de evitare a apărării, cum ar fi identificarea software-ului antivirus și evitarea detectării acestuia.
Un fișier malițios, numit SystemCert.exe, generează scripturi și executabile suplimentare pentru conectarea la serverul C2 și descărcarea altor pachete. Din fericire, atacul a fost interceptat înainte de orice exfiltrare de date.
Cum să vă protejați
Pentru a preveni astfel de atacuri, este necesară implementarea unor măsuri de securitate puternice, cum ar fi verificarea pretențiilor terților, controlul instrumentelor de acces de la distanță și instruirea angajaților despre tacticile de phishing și vishing.
Acest incident subliniază importanța măsurilor proactive de securitate cibernetică, subliniind modul în care încrederea și platformele legitime pot fi exploatate de atacatori.
Sursa articolului:
https://cybersecuritynews.com/microsoft-teams-to-gain-remote-access/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
