Hacker på Teams

Hackere “sniger” sig ind i Microsoft Teams chats for at distribuere malware

Sikkerhedseksperter advarer om, at nogle hackere kompromitterer Microsoft Teams-konti for at snige sig ind i chats og sprede eksekverbare filer til deltagerne i samtalen. Der er mere end 270 millioner brugere af Microsoft Teams hver måned, mange af dem stoler umiddelbart på platformen, på trods af manglen på beskyttelse mod malware-filer.

En enkel, men effektiv metode

Analytikere ved Avanan, et Check Point-firma, der sikrer cloud-e-mail- og samarbejdsplatforme, fandt ud af, at hackere begyndte at efterlade eksekverbare filer i samtaler på Microsoft Teams kommunikationsplatformen.

Angrebene startede i januar, siger selskabet i en rapport, og hackeren afleverer i en chat en eksekverbar fil kaldet “User Centric” og narre brugeren til at køre det. Efterfølgende skriver malware data ind i systemets registreringsdatabase og installerer DLL’er og etablerer vedholdenhed på Windows-maskinen.

“I dette Teams-angreb har hackere vedhæftet et trojansk dokument til en chattråd. Når der klikkes på det, vil filen i sidste ende overtage brugerens computer ” berettes det fra Avanan

Metoden, der bruges til at få adgang til Teams-konti, er fortsat uklar, men nogle muligheder omfatter tyveri af legitimationsoplysninger til e-mail eller Microsoft 365 via phishing eller kompromittere en partnerorganisation. Automatisk analyse af malware distribueret på denne måde viser, at den trojanske fil kan etablere vedholdenhed gennem Windows Registry Run nøgler eller ved at oprette en post i startmappen. Det indsamler også detaljerede oplysninger om operativsystemet og den hardware, det kører på, sammen med sikkerhedstilstanden af maskinen baseret på OS-versionen og patches installeret.

Overdreven tillid

Selv om angrebet er ganske simpelt kan det også være meget effektive, fordi mange brugere har tillid til filer modtaget over Teams, siger analytikere fra Avanan. Virksomheden analyserede data fra hospitaler, der bruger Teams og fandt ud af, at læger bruger platformen til at dele medicinske oplysninger ubegrænset. Mens enkeltpersoner typisk er mistænksomme over for oplysninger, der modtages via e-mail, udviser de på grund af træning i phishing-opmærksomhed ingen forsigtighed med filer, der er modtaget over Teams. Desuden tilbyder Teams gæste- og eksterne adgangsfunktioner, der giver mulighed for samarbejde med personer uden for virksomheden. Fra Avanan hævdes det, at disse invitationer normalt er opfyldt af minimalt tilsyn.

“På grund af det manglende kendskab til Teams-platformen vil mange bare stole på og godkende anmodningerne. Inden for en organisation kan en bruger meget nemt foregive at være en anden, uanset om det er CEO, CFO eller IT-helpdesk” kommer det fra Avanan.

Analytikerne siger, at problemet forværres af “det faktum, at standard Teams beskyttelse mangler, og scanning for links og filer er begrænset” og “mange e-mail-sikkerhedsløsninger tilbyder ikke robust beskyttelse for Teams.”

For at forsvare sig mod den slags angreb anbefaler Avanan følgende:

  • Implementer beskyttelse, der henter alle filer i en ”sandkasse” og undersøger dem for skadeligt indhold
  • Implementer robust sikkerhed med fuld suite, der sikrer alle forretningskommunikationslinjer, herunder Teams
  • Tilskynde slutbrugere til at kontakte it, når de ser en ukendt fil

Kilde: BleepingComputers

Scroll til toppen