Pesquisadores da Avanan, uma empresa de segurança cibernética, alertaram que alguns hackers estão atacando as contas do Microsoft Teams anexando executáveis maliciosos ao bate-papo e divulgando-os aos participantes da conversa.
Avanan disse que os ataques começaram em janeiro de 2022 e a empresa observou como os hackers estão soltando arquivos executáveis maliciosos nas conversas do Teams. O arquivo grava os dados no Windows registro, instala arquivos DLL e cria links de atalho que permitem que o programa se autoistre. A empresa de segurança cibernética tem visto milhares desses ataques por mês.
Nesse ataque, os hackers estão invadindo o Teams e anexando arquivos .exe aos bate-papos do Teams por email ou falsificando um usuário. Em seguida, o agente da ameaça anexa um arquivo .exe chamado “ Centric” a um bate-papo, que é um Trojan. Isso instalará arquivos DLL e criará links de atalho para autoistração.
De acordo com os pesquisadores, os invasores podem lançar o ataque comprometendo uma organização parceira e ouvindo os bate-papos interorganizacionais. Como alternativa, os agentes de ameaças também podem comprometer um endereço de e-mail e usá-lo para ar o Teams. Eles podem roubar credenciais do Microsoft 365 de uma campanha de phishing anterior ou violação de dados, dando a eles o carta branca ao Teams e outros aplicativos do Office.
Uma vez que os invasores estão dentro de uma organização, um invasor geralmente sabe qual tecnologia está sendo usada para protegê-la, disseram os pesquisadores. Isso significa que eles saberão qual malware ignorará as proteções existentes.
“Complicando esse problema, está o fato de que as proteções padrão do Teams estão faltando, pois a verificação de links e arquivos maliciosos é limitada. Além disso, muitas soluções de segurança de e-mail não oferecem proteção robusta para o Teams”, diz a análise publicada pela Avanan.
“Os hackers, que podem ar as contas do Teams por meio de ataques Leste-Oeste ou aproveitando as credenciais que coletam em outros ataques de phishing, têm carta branca para lançar ataques contra milhões de usuários desavisados”.
O Microsoft Teams é fácil para os hackers se comprometerem, pois os usuários finais têm uma confiança inerente na plataforma, compartilhando dados confidenciais e até confidenciais. Por exemplo, uma análise da Avanan de hospitais que usam o Teams descobriu que os médicos compartilham informações médicas do paciente praticamente sem limites na plataforma do Teams.
“A equipe médica geralmente conhece as regras de segurança e o risco de compartilhar informações por e-mail, mas as ignora quando se trata de equipes. Além disso, quase todos os usuários podem convidar pessoas de outros departamentos e geralmente há uma supervisão mínima quando os convites são enviados ou recebidos de outras empresas”, explicou Avanan.
“Por causa da falta de familiaridade com a plataforma Teams, muitos vão apenas confiar e aprovar as solicitações. Dentro de uma organização, um usuário pode facilmente fingir ser outra pessoa, seja o CEO, CFO ou help desk de TI.”
Desde o início da pandemia, o Microsoft Teams continuou a crescer em popularidade, com a empresa ultraando 270 milhões de usuários ativos mensais do Teams no segundo trimestre do ano fiscal de 2022.
De acordo com Avanan, esse ataque demonstra que os hackers estão começando a entender e utilizar melhor o Teams como um potencial vetor de ataque. À medida que o uso do Teams continua a aumentar, a empresa de segurança cibernética espera um aumento significativo desses tipos de ataques no futuro. A ameaça atual parece ter como alvo principalmente usuários nos EUA
A Avavan recomenda que os profissionais de segurança se protejam contra esses ataques (1) implementando proteção que baixa todos os arquivos em uma sandbox e os inspeciona em busca de conteúdo malicioso, (2) implantando segurança robusta e completa que protege todas as linhas de comunicação de negócios, incluindo equipes e (3) incentivando os usuários finais a entrar em contato com a TI ao ver um arquivo desconhecido.
