Microsoft avverte di una nuova minaccia malware distribuita tramite le chat di Teams

Microsoft ha inviato un avviso di sicurezza informatica riguardante un attore di minacce che utilizza le chat di Microsoft Teams per distribuire malware. L’autore della minaccia è stato etichettato come Storm-0324 e Microsoft afferma che questo gruppo è attivo dal 2016.

In un post sul blog , Microsoft ha dichiarato che nel luglio 2023, “Storm-0324 è stato osservato mentre distribuiva payload utilizzando uno strumento open source per inviare esche di phishing tramite le chat di Microsoft Teams”. Il blog ha aggiunto che il gruppo ha distribuito principalmente il malware JSSLoader dal 2019. Questo malware può quindi essere utilizzato da un altro gruppo di autori di minacce noto come Sangria Tempest per posizionare file ransomware su un PC.

Microsoft ha spiegato:

La catena di distribuzione di Storm-0324 inizia con e-mail di phishing che fanno riferimento a fatture o pagamenti e contengono un collegamento a un sito di SharePoint che ospita un archivio ZIP. Microsoft continua a lavorare sulle sue piattaforme per identificare gli abusi, eliminare attività dannose e implementare nuove protezioni proattive per scoraggiare gli autori malintenzionati dall’utilizzare i nostri servizi.

Microsoft aggiunge che queste e-mail potrebbero sembrare documenti reali di aziende come DocuSign, Quickbooks e altre. In alcuni casi, questi file richiedono anche un codice di sicurezza o una password che la vittima del malware deve digitare. Ciò può rendere questi documenti falsi più realistici.

Microsoft afferma di aver adottato diverse misure per impedire la distribuzione di questo tipo di malware nelle chat di Teams. Ciò include la sospensione degli account che hanno confermato di essere coinvolti in attività fraudolente.

Sono stati inoltre aggiunti miglioramenti all’esperienza Accetta/Blocca nelle chat individuali di Teams. La società ha inoltre introdotto nuove restrizioni sulla “creazione di domini all’interno dei tenant e migliorato le notifiche agli amministratori dei tenant quando vengono creati nuovi domini all’interno del loro tenant”.

Microsoft elenca anche una serie di modi in cui le aziende che utilizzano le chat di gruppo possono adottare misure preventive per evitare di essere colpite da questo nuovo attacco di phishing. Questi includono la possibilità di consentire solo ai dispositivi noti di connettersi a Teams, nonché di istruire i dipendenti su come vengono effettuati attacchi di phishing e malware e di esaminare le attività di accesso sospette.