研究人员发现,威胁行为者在聊天线程中植入恶意文档Microsoft Teams这些恶意文档执行木马程序,最终可以接管终端用户的计算机。
据报道,1月份,Check Point公司Avanan研究人员开始跟踪活动Teams将恶意可执行文件删除到对话中,用户点击后,这些文件最终会接管用户的计算机。
Avanan Jeremy Fuchs 网络安全研究员和分析师在一篇文章中写道:黑客可以安装可执行文件或包含系统执行指令的文件DLL文件允许程序自我管理和控制计算机。将文件附加到文件中。Teams黑客在攻击中找到了一种轻松瞄准数百万用户的新方法。
长期以来,网络犯罪分子一直瞄准微软无处不在的文档创建和共享套件——传统Office以及基于云计算的版本Office 365-攻击套件中的单个应用程序,如PowerPoint以及企业电子邮件泄露等诈骗。
现在,Microsoft Teams(业务通信与合作套件)正成为网络犯罪越来越流行的攻击平台。
这种兴趣可能是因为它在COVID-19由于许多组织的远程员工依靠该应用程序进行合作,在大流行期间使用激增。事实上,Teams每日活跃用户数量几乎翻了一番,从2020年4月的7500万用户增加到2021年第二季度1.45亿用户。
Fuchs指出,针对Teams最新的活动表明,人们对合作应用程序的理解增加,这将增加攻击的复杂性和数量。Teams使用量不断增加,Avanan他写道,这种攻击预计会显著增加。
入侵Teams
Fuchs指出,为在Teams在植入恶意文档时,研究人员必须首先访问该应用程序。这可以通过多种方式实现,利用网络钓鱼,通过最初的电子邮件妥协获得证书或其他进入网络的方式。
Fuchs写道:他们可以损害合作伙伴的利益,监控组织之间的聊天。他们可以泄露电子邮件地址使用它来访问Teams。可以偷Microsoft 365凭证让他们全权访问Teams和Office套件的其余部分。
他指出,一旦攻击者得到Teams导航和绕过任何安全保护措施都很容易。这是因为缺乏默认Teams由于恶意链接和文件的扫描受到限制,许多电子邮件安全解决方案无法解决Teams提供强大的保护。”
他说,Teams另一个容易被黑客入侵的原因是终端用户自然信任该平台,并在使用它时共享敏感甚至机密数据。
Fuchs写道:例如,Avanan经过对使用Teams的医院的分析发现,医生在Teams病人的医疗信息在平台上几乎不受限制地共享。医务人员通常知道通过电子邮件共享信息的安全规则和风险,但它涉及到Teams忽略这些。在他们看来,一切都可以通过Teams发送。”
此外,几乎每个Teams用户可以通过平台邀请其他部门或其他公司的人员进行合作,这些请求通常由于人们的信任而受到最小监督,他补充说。
特定的攻击向量
在Avanan在研究人员观察到的攻击向量中,攻击者首先通过上述方法之一访问Teams,比如欺骗用户的网络钓鱼电子邮件,或者通过横向攻击网络。
然后威胁行为者将是一个.exe文件附加到一个名为以用户为中心的聊天中,这实际上是一匹特洛伊木马。对于最终用户来说,这似乎是合法的,因为它似乎来自信任用户。
当有人附加文件时Teams聊天时,特别是使用听起来无害的文件名‘User Centric’很多用户不会三思而后行,而是毫不犹豫地点击,Fuchs写道。
他说,如果发生这种情况,可执行文件将被安装DLL这些文件安装恶意软件Windows并在受害者的机器上创建快速链接进行自我管理。恶意软件的最终目标是接管机器并进行其他恶意活动。
本文翻译自:https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如果转载,请注明原始地址。