Biztonsági kutatók arra figyelmeztetnek, hogy egyes támadók kompromittálják a Microsoft Teams-fiókokat, hogy a csevegésekbe becsússzanva rosszindulatú futtatható fájlokat terjesszenek szét a beszélgetés résztvevői között.
Havonta több mint 270 millió felhasználó támaszkodik a Microsoft Teamsre, sokan közülük hallgatólagosan bíznak a platformban, annak ellenére, hogy a rosszindulatú fájlok elleni védelem hiányzik. Erre az Avanan, a Check Point felhőalapú e-mail és együttműködési platformok védelmével foglalkozó vállalat kutatói jöttek rá.
A támadások januárban kezdődtek - írja friss jelentésében a vállalat -, és a rosszindulatú hacker egy "User Centric" nevű futtatható fájlt illeszt be a csevegésbe, hogy rávegye a felhasználót annak elindítására. A végrehajtást követően a kártevő adatokat ír a rendszer registryjébe, DLL-eket telepít és perzisztenciát hoz létre a Windowson futó gépen.
A Teams-fiókokhoz való hozzáférés megszerzésének módszere egyelőre tisztázatlan, de a néhány valószínű lehetőség között szerepel az e-mail vagy a Microsoft 365 hitelesítő adatainak ellopása adathalászattal, de elképzelhető egy partnerszervezet meghackelése is.
Az így terjesztett kártevő automatikus elemzése azt mutatja, hogy a trójai a Windows Registry Futtatási kulcsokon keresztül vagy az indítómappában egy bejegyzés létrehozásával állandó jelenlétet tud létrehozni. Emellett részletes információkat gyűjt az operációs rendszerről és a hardverről, amelyen fut, valamint a gép biztonsági állapotáról az operációs rendszer verziója és a telepített javítások alapján.
Bár a támadás meglehetősen egyszerű, mégis nagyon hatékony lehet, mivel sok felhasználó megbízik a csapatokon keresztül kapott fájlokban - állítják az Avanan kutatói. A vállalat például elemezte a Teams-t használó kórházak adatait, és azt találták, hogy az orvosok korlátlanul használják a platformot orvosi információk megosztására.
Míg az egyének jellemzően gyanakvóak az e-mailben kapott információkkal szemben, mert legtöbbször kapnak képzést az e-mailes adathalászat elleni védekezéshez, ám a Teams-en keresztül kapott fájlokkal szemben nincsenek fenntartásaik. Ráadásul a Teams olyan vendég- és külső hozzáférési lehetőségeket nyújt, amelyek lehetővé teszik a vállalaton kívüli személyekkel való együttműködést. Az Avanan szerint ezek a meghívások általában minimális felügyeletet élveznek.
A kutatók szerint a problémát súlyosbítja, hogy "a Teams alapértelmezett védelme hiányos, mivel a rosszindulatú linkek és fájlok szkennelése korlátozott", és "sok e-mail biztonsági megoldás nem kínál robusztus védelmet a Teams számára".
Az ilyen támadások elleni védekezéshez az Avanan a következőket ajánlja:
- Olyan védelem bevezetése, amely minden fájlt letölt egy sandboxba, és megvizsgálja azokat rosszindulatú tartalmat keresve.
- Erős, teljes körű biztonság telepítése, amely az összes üzleti kommunikációs vonalat, köztük a Teams-t is védi.
- Ösztönözni kell a végfelhasználókat, hogy ismeretlen fájl észlelésekor forduljanak az IT-hez.
