研究人員發(fā)現(xiàn)，威脅行為者正通過在聊天線程中植入惡意文檔來針對Microsoft Teams用戶，這些惡意文檔執(zhí)行木馬程序，最終可以接管終端用戶的電腦。

據(jù)一份報告稱，1月份，Check Point公司Avanan的研究人員開始跟蹤該活動，該活動會在Teams對話中刪除惡意可執(zhí)行文件，用戶點(diǎn)擊這些文件后，這些文件最終會接管用戶的電腦。

Avanan Jeremy Fuchs 的網(wǎng)絡(luò)安全研究員和分析師在一篇文章中寫道：“使用可執(zhí)行文件或包含系統(tǒng)執(zhí)行指令的文件，黑客可以安裝DLL文件并允許程序自我管理和控制計(jì)算機(jī)?！薄巴ㄟ^將文件附加到Teams攻擊中，黑客找到了一種輕松瞄準(zhǔn)數(shù)百萬用戶的新方法?！?/p>

長期以來，網(wǎng)絡(luò)犯罪分子一直瞄準(zhǔn)微軟無處不在的文檔創(chuàng)建和共享套件——傳統(tǒng)的Office及其基于云計(jì)算的版本Office 365——攻擊套件中的單個應(yīng)用程序，如PowerPoint以及企業(yè)電子郵件泄露和其他詐騙。

現(xiàn)在，Microsoft Teams(一種業(yè)務(wù)通信和協(xié)作套件)正在成為越來越受網(wǎng)絡(luò)犯罪歡迎的攻擊平臺。

這種興趣可能歸因于它在COVID-19大流行期間的使用量激增，因?yàn)樵S多組織的遠(yuǎn)程工作員工都依賴該應(yīng)用程序進(jìn)行協(xié)作。事實(shí)上，Teams的每日活躍用戶數(shù)量幾乎翻了一番，從2020年4月的7500萬用戶增加到2021年第二季度的1.45億用戶。

Fuchs指出，針對Teams的最新活動表明，人們對協(xié)作應(yīng)用程序的理解有所增加，這將使針對它的攻擊的復(fù)雜程度和數(shù)量都增加?！半S著Teams使用量的不斷增加，Avanan預(yù)計(jì)此類攻擊會顯著增加，”他寫道。

入侵Teams

Fuchs指出，為了在Teams中植入惡意文檔，研究人員首先必須訪問該應(yīng)用程序。這可以通過多種方式實(shí)現(xiàn)，利用網(wǎng)絡(luò)釣魚，通過最初的電子郵件妥協(xié)來獲得證書或其他進(jìn)入網(wǎng)絡(luò)的途徑。

Fuchs寫道：“他們可以損害合作伙伴組織的利益，監(jiān)聽組織間的聊天?！薄八麄兛梢孕孤峨娮余]件地址并使用它來訪問Teams。他們可以竊取Microsoft 365憑據(jù)，讓他們?nèi)珯?quán)訪問Teams和Office套件的其余部分?！?/p>

他指出，一旦攻擊者獲得對Teams的訪問權(quán)限，就很容易導(dǎo)航并繞過任何安全保護(hù)措施。這是因?yàn)椤叭狈δJ(rèn)的Teams保護(hù)，因?yàn)閷阂怄溄雍臀募膾呙枋艿较拗啤?，并且“許多電子郵件安全解決方案無法為Teams提供強(qiáng)大的保護(hù)?！?/p>

他說，Teams很容易被黑客入侵的另一個原因是，終端用戶理所當(dāng)然地信任該平臺，在使用它時會隨意共享敏感甚至機(jī)密數(shù)據(jù)。

Fuchs寫道：“例如，Avanan經(jīng)過對使用Teams的醫(yī)院的分析發(fā)現(xiàn)，醫(yī)生在Teams平臺上幾乎不受限制地共享患者醫(yī)療信息。”“醫(yī)務(wù)人員通常知道通過電子郵件共享信息的安全規(guī)則和風(fēng)險，但在涉及Teams時會忽略這些。在他們看來，一切都可以通過Teams發(fā)送?！?/p>

此外，幾乎每個Teams用戶都可以邀請來自其他部門或其他公司的人員通過該平臺進(jìn)行協(xié)作，并且由于人們的信任，這些請求通常會受到“最小的監(jiān)督”，他補(bǔ)充說。

特定的攻擊向量

在Avanan研究人員觀察到的攻擊向量中，攻擊者首先通過上述方式之一訪問Teams，例如欺騙用戶的網(wǎng)絡(luò)釣魚電子郵件，或通過對網(wǎng)絡(luò)的橫向攻擊。

然后，威脅行為者將一個.exe文件附加到一個名為“以用戶為中心”的聊天中，這實(shí)際上是一個特洛伊木馬。對于最終用戶來說，它看起來是合法的，因?yàn)樗坪鮼碜允苄湃蔚挠脩簟?/p>

“當(dāng)有人將文件附加到Teams聊天中時，尤其是使用聽起來無害的文件名‘User Centric’時，許多用戶不會三思而后行，而是毫不猶豫地點(diǎn)擊它，”Fuchs寫道。

他說，如果發(fā)生這種情況，可執(zhí)行文件將安裝DLL文件，這些文件將惡意軟件安裝為Windows程序，并創(chuàng)建快捷鏈接以在受害者的機(jī)器上進(jìn)行自我管理。惡意軟件的最終目標(biāo)是接管機(jī)器并執(zhí)行其他惡意活動。

本文翻譯自：https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如若轉(zhuǎn)載，請注明原文地址。