Microsoft finisce (di nuovo) sotto scacco: di nuovo quel pericoloso malware imperversa su Teams. Di cosa si tratta.
Per molti Microsoft Team è la piattaforma di comunicazione e collaborazione unificata numero uno al mondo. Per tutti gli altri se la gioca con Zoom e Meet: la dottrina è divisa e va bene così.
Sono tutte piattaforme che hanno rappresentato uno dei più grandi rimedi (in certi casi ancore di salvataggio) durante lo scoppio della pandemia da Coronavirus, soprattutto sotto lockdown, e da lì in poi non hanno mai più smesso di mettersi al servizio dei lavoratori, rivoluzionando completamente il modus operandi di tantissime aziende ed esulando del semplicistico concept di smart working.
Le usano praticamente tutti, per i più disparati motivi e quando c’è qualcosa che va storto, ingloba milioni e milioni di utenti. Non è affatto un piccolo particolare. Ecco perché c’è apprensione e attenzione per ciò che sta accadendo a Microsoft Teams.
Microsoft, riecco il pericoloso malware
Torna d’attualità un malware già precedentemente rivelato in un report di Jumpsec dello scorso giugno, questo è stato scoperto su Microsoft Teams un modo di inviare messaggi dannosi ad altre organizzazioni, tramite phishing e ingegneria sociale. Accade di nuovo, in base a nuove segnalazione.
Una nuova campagna di phishing sta imperversando su Microsoft Teams, sfrutta i messaggi per inviare allegati dannosi che installano il malware DarkGate Loader. Da agosto si sono verificati, nuovamente, i messaggi di phishing inviati da due account Office 365 esterni compromessi, ad altre organizzazioni.
Questi account scovati e rivelati da bleepingcomputer.com sono stati utilizzati per indurre altri utenti di Microsoft Teams a scaricare e aprire un file ZIP denominato “Modifiche al programma delle ferie“. Niente di più nefasto: cliccando sugli allegati, infatti, si attiva il download del file ZIP da un URL di SharePoint, contente un file LNK mascherato da documento PDF.
I ricercatori di Truesec hanno analizzato la nuova campagna di phishing di Microsoft Teams scoprendo VBScript dannosi che innescano la catena di infezione che porta a un payload identificato come DarkGate Loader. Per cercare di eludere il rilevamento, il processo di download utilizza Windows URL per recuperare i file eseguibili e di script del malware.
Lo script è arrivato precompilato, nascondendo il codice dannoso al centro del file, a cominciare da “byte magici” distinguibili associati agli script AutoIT. Microsoft per il momento ha deciso di non correre rischi, consigliando agli amministratori di applicare configurazioni sicure e disabilitare l’accesso esterno, per lo meno allo stretto necessario.