Специалисты Avanan (входит в группу Check Point) раскрыли детали очередной схемы атаки хакеров. На этот раз злоумышленники используют популярную платформу Microsoft Teams, отправляя в чаты вредоносные файлы.
Первые атаки были зафиксированы в начале 2022 года, с тех пор зафиксированы тысячи случаев. В большинстве случаев пострадали локальные СМИ, территориально расположенные на северо-востоке США.
Нередко в качестве названия файла используется UserCentric.exe – простая, но эффективная уловка. После запуска опасный файл инсталлирует DLL, добавляет нужные записи в системный реестр, а также обеспечивает себе автозагрузку при старте ОС (через стандартный каталог автозапуска или системный реестр).
В случае успешной атаки утилита предоставляет злоумышленникам доступ к ПК. Также собирается информация об аппаратной части компьютера и операционной системе.
Способ проникновения в закрытые чаты специалисты пока не раскрыли. Предположительно используется предварительный доступ к электронной почте, для чего крадется пароль через фишинг или взлом инфраструктуры других компаний.
Эксперты Avanan отметили, что основная проблема – пользователи Microsoft Teams привыкли доверять файлам, полученным через данный сервис. При этом защитное ПО, которое автоматически помещают все загруженные файлы в специальную изолированную среду («песочницу»), обеспечивают полноценную защиту от атак данного типа.
В компании также обратили внимание, что встроенные механизмы защиты Microsoft Teams слабо защищают в этом случае: простой алгоритм добавления новых участников чата, отсутствие автоматической проверки ссылок и файлов на наличие вредоносного кода.