Хакеры захватывают ПК, чьи хозяева пользуются чатами Microsoft Teams
Злоумышленники подключаются к чужим чатам Microsoft Teams и вбрасывают исполняемые вредоносные файлы. Проблема в том, что защиты от этого в Microsoft Teams почти нет.
Просто, но действенно
Хакеры превращают платформу коммуникаций Microsoft Teams в средство распространения вредоносного ПО, утверждают исследователи компании Avanan, входящей в группу Check Point. Злоумышленники сбрасывают в чаты на платформе исполняемые файлы, оказывающиеся вредоносными.
Атаки, по данным исследователей, начались в январе 2022 г., и с тех пор компания отметила уже тысячи инцидетнов. Большая часть из них произошла на северо-востоке США, в регионе вокруг Великих озер. Основные пострадавшие — локальные СМИ.
Исполняемый файл часто носит название UserCentric.exe — относительно наивная, но действенная приманка.
При запуске вредонос вписывает данные в системный реестр, устанавливает DLL и обеспечивает себе продолжительное присутствие вWindows, создавая нужную запись в системном реестре или вписываясь в папку автозапуска.
Этот вредонос обеспечивает злоумышленникам контроль над компьютером жертвы. Вредонос собирает подробную информацию об операционной системе и аппаратной составляющей, а также о версии ОС и установленных патчах — по-видимому, таким образом проверяется защищенность системы.
Каким именно образом злоумышленники проникают в закрытые чаты Microsoft Teams, пока остается загадкой. Исследователи предполагают, что хакеры используют украденные реквизиты доступа к электронной почте, которые получают через фишинг или предварительную компрометацию других компаний.
Слишком доверчивые пользователи
По утверждениям экспертов Avanan, проблема заключается в том, что пользователи Microsoft Teams слишком часто доверяют файлам, передаваемым через чаты. И даже если они знают, что исполняемые файлы, пришедшие, например, по электронной почте запускать опасно, на Teams это знание как будто не распространяется.
Специалисты полагают, что защитные решения, покрывающие все виды бизнес-коммуникаций, которые автоматически помещают любые скачанные файлы в изолированные среды («песочницы») помогут защититься от подобных атак. Пользователям же рекомендовано обращаться к ИТ-отделу, когда они видят в Microsoft Teams незнакомые файлы.
«Собственная защита Microsoft Teams тоже не слишком эффективна от подобных атак: механизм приглашения дополнительных участников очень прост, автоматическая проверка файлов и ссылок на вредоносность не реализована пока по крайней мере, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Далеко не все внешние защитные решения обеспечивают безопасность Microsoft Teams, так что подобные атаки вполне могут получить распространение, если не принять меры».