Gli aggressori utilizzano annunci per falsi aggiornamenti di Microsoft Teams per distribuire backdoor, che utilizzano Cobalt Strike per infettare le reti delle aziende con malware.
Secondo un rapporto di Bleeping Computer, Microsoft sta avvertendo i suoi clienti delle cosiddette campagne “FakeUpdates” in un avviso di sicurezza. La campagna si rivolge a vari tipi di aziende, con obiettivi recenti nel settore dell’istruzione K-12, in cui le organizzazioni dipendono attualmente dall’utilizzo di app come Teams per la videoconferenza a causa delle restrizioni COVID-19.
Cobalt Strike è uno strumento di simulazione degli attacchi di base utilizzato dagli aggressori per diffondere malware, in particolare ransomware. Recentemente, gli hacker sono stati scoperti utilizzare Cobalt Strike in attacchi che sfruttano Zerologon, un difetto di cattura dei privilegi che consente agli aggressori di accedere a un controller di dominio e compromettere completamente tutti i servizi di identità di Active Directory.
Nell’avviso, Microsoft afferma di aver visto gli aggressori nell’ultima campagna FakeUpdates utilizzare annunci dei motori di ricerca per spingere i migliori risultati per il software Teams in un dominio che controllano e utilizzano per attività nefaste, secondo il rapporto. Se le vittime fanno clic sul collegamento, scarica un payload che esegue uno script PowerShell, che carica contenuto dannoso.
Gli eseguibili di Cobalt Strike sono tra i payload distribuiti anche dalla campagna, che danno agli hacker la capacità di spostarsi lateralmente attraverso una rete oltre il sistema di infezione iniziale, secondo quanto riportato. Il collegamento installa anche una copia valida di Microsoft Teams sul sistema per apparire legittima ed evitare di insospettire le vittime dell’attacco.
Il malware distribuito dalla campagna include l’infostealer Predator the Thief, che ruba dati sensibili come credenziali, browser e dati di pagamento, secondo l’avviso. Microsoft ha anche scoperto la backdoor di Bladabindi (NJRat) e di ZLoader distribuiti dalle ultime campagne.
Oltre alle campagne FakeUpdates che utilizzano le esche di Microsoft Teams, il gigante della tecnologia ha anche visto modelli di attacco simili in almeno altre sei campagne con variazioni dello stesso tema, suggerendo un attacco più ampio da parte degli stessi hacker, secondo il rapporto. In un altro caso, ad esempio, gli aggressori hanno utilizzato il servizio di accorciamento degli URL di IP Logger, ha avvertito Microsoft.
Microsoft ha offerto una serie di tecniche di mitigazione per l’ultima ondata di attacchi FakeUpdates. L’azienda consiglia alle persone di utilizzare browser Web in grado di filtrare e bloccare siti Web dannosi e garantire che le password degli amministratori locali siano forti e non possano essere facilmente indovinate.
I privilegi di amministratore dovrebbero inoltre essere limitati agli utenti essenziali ed evitare account di servizio a livello di dominio che hanno le stesse autorizzazioni di un amministratore, come buona pratica.
Le organizzazioni possono anche limitare la loro superficie di attacco per tenere a bada gli aggressori bloccando i file eseguibili che non soddisfano criteri specifici o impedendo al codice JavaScript e VBScript di scaricare contenuto eseguibile, ha consigliato Microsoft.