Falešné hovory přes Microsoft Teams šíří zákeřný malware
Kyberzločinci zneužívají hlasové hovory v Microsoft Teams a vydávají se za pracovníky firemní IT podpory. Jejich cílem je přesvědčit zaměstnance, aby si nainstalovali malware EtherRAT. Ten poté útočníkům otevře cestu do firemní sítě.
Podle výzkumníků z Unit 42 společnosti Palo Alto Networks jde o promyšlený útok, který kombinuje phishingové e-maily, hlasové hovory přes Microsoft Teams, legitimní nástroje pro vzdálenou správu a škodlivý Node.js loader (komponenta malwaru, která zneužívá prostředí Node.js ke spuštění škodlivého kódu).
Útok začíná phishingovým e-mailem s návnadou v podobě „zaměstnaneckého průzkumu“. K zprávě je přiložený škodlivý PDF dokument. Krátce po jeho otevření oběť obdrží příchozí hlasový hovor v Microsoft Teams od externího účtu. Volající se vydává za systémového administrátora.
Podvodníci zneužívají vzdálený přístup: Otevírá jim to cestu k plnému ovládnutí počítače
Výzkumníci si všimli, že prostředí Teams během hovoru zobrazuje označení příchozího volajícího jako „Externí – neznámý / External unfamiliar“. Je to upozornění, že volající pochází z jiného prostředí než Microsoft 365. Z auditních záznamů zachycených případů navíc vyplynulo, že útočník komunikoval z účtu [[email protected]](mailto:[email protected])[.]com a vystupoval jako pracovník IT podpory.
Jakmile se útočníkovi podaří získat důvěru oběti, přesvědčí ji, aby mu prostřednictvím sdílení obrazovky v Microsoft Teams udělila možnost vzdáleného přístupu. Následně ji navede k instalaci běžně používaných nástrojů pro vzdálenou správu, například HopToDesk nebo AnyDesk.
Po získání vzdáleného přístupu útočníci stáhnou a spustí škodlivý instalační balíček MSI (v7.msi) ze serveru camorreado[.]click. Tento instalátor funguje jako loader – stáhne legitimní prostředí Node.js, dešifruje ukryté soubory a nakonec spustí malware EtherRAT.
EtherRAT se vrací: Malware využívá Ethereum k ukrytí řídicích serverů
EtherRAT je multiplatformní trojan pro vzdálený přístup, napsaný v Node.js. Útočníkům umožňuje plně ovládnout napadené zařízení, spouštět příkazy, manipulovat se soubory, krást data a zajistit si dlouhodobou přítomnost v systému. Pro získávání adres řídicího serveru navíc využívá chytré kontrakty na síti Ethereum, což výrazně komplikuje jeho zablokování.
Malware EtherRAT byl už v minulosti nasazen při útocích, které v některých regionech iniciovaly a podporovaly státní administrativy. Později jej začaly využívat i další skupiny útočníků.
Výzkumníci z Unit 42 také objevili otevřený adresář na distribučním serveru, obsahující několik verzí instalačních balíčků škodlivého kódu (v1 až v9). To je jednoznačný důkaz, že kyberzločinci nástroj stále aktivně vyvíjejí.
Microsoft posiluje ochranu Teams
Nejde o první případ zneužití Microsoft Teams k průniku do firemních sítí. Už v březnu tohoto roku bezpečnostní experti identifikovali kampaň, která cílila na organizace z finančního a zdravotnického sektoru. Kyberzločinci nejprve zahltili schránky obětí spamem a následně je jako údajní pracovníci IT podpory kontaktovali přes Teams. Přiměli je spustit relaci Quick Assist, která vedla k instalaci malwaru A0Backdoor.
O měsíc později Microsoft upozornil, že k vydávání se za pracovníky helpdesku útočníci stále častěji zneužívají externí účty v Microsoft Teams. Po získání vzdáleného přístupu prohledávají firemní sítě, šíří se na další zařízení a kradou citlivá data.
V reakci na tyto hrozby bezpečnostní experti Microsoftu postupně zavádějí nové ochranné mechanismy. Mezi ně patří například upozornění na příchozí externí hovory a textové konverzace, které uživatele varují před hrozícími phishingovými nebo vishingovými útoky. Také byla přidána nová zásada pro správce Teams, která automaticky umístí podezřelá automatická volání od třetích stran do předsálí schůzky. Tam čekají, dokud organizátor jejich účast ručně neschválí.
Zdroj: Bleeping Computer