Microsoft waarschuwt voor een nieuwe malwaredreiging die wordt verspreid via Teams-chats

Microsoft heeft een cyberbeveiligingswaarschuwing verzonden over een bedreigingsacteur die Microsoft Teams-chats gebruikt om malware te verspreiden. De bedreigingsacteur is gelabeld als Storm-0324 en Microsoft zegt dat deze groep sinds 2016 actief is.

In een blogpost verklaarde Microsoft dat in juli 2023 werd waargenomen dat “Storm-0324 payloads verspreidde met behulp van een open-sourcetool om phishing-lokmiddelen via Microsoft Teams-chats te verzenden.” De blog voegde eraan toe dat de groep sinds 2019 voornamelijk de JSSLoader-malware heeft verspreid. Deze malware kan vervolgens worden gebruikt door een andere groep bedreigingsactoren, bekend als Sangria Tempest, om ransomwarebestanden op een pc te plaatsen.

Microsoft legde uit:

De leveringsketen van Storm-0324 begint met phishing-e-mails waarin wordt verwezen naar facturen of betalingen en die een link bevatten naar een SharePoint-site die een ZIP-archief host. Microsoft blijft op al zijn platforms werken aan het identificeren van misbruik, het tegengaan van kwaadwillige activiteiten en het implementeren van nieuwe proactieve beschermingsmaatregelen om kwaadwillende actoren te ontmoedigen onze services te gebruiken.

Microsoft voegt eraan toe dat deze e-mails eruit kunnen zien als echte documenten van bedrijven als DocuSign, Quickbooks en anderen. In sommige gevallen vereisen deze bestanden ook dat het malwareslachtoffer een beveiligingscode of wachtwoord invoert. Hierdoor kunnen deze valse documenten er realistischer uitzien.

Microsoft zegt verschillende maatregelen te hebben genomen om te voorkomen dat dit soort malware in Teams-chats wordt verspreid. Dat geldt ook voor het opschorten van accounts waarvan is bevestigd dat ze zich schuldig hebben gemaakt aan frauduleuze activiteiten.

Het heeft ook verbeteringen toegevoegd aan de Accepteer/Blokkeer-ervaring in één-op-één Teams-chats. Het bedrijf heeft ook nieuwe beperkingen opgelegd aan “het aanmaken van domeinen binnen huurders en verbeterde meldingen aan huurderbeheerders wanneer er nieuwe domeinen worden aangemaakt binnen hun huurder.”

Microsoft somt ook een aantal manieren op waarop bedrijven die teamchats gebruiken preventieve maatregelen kunnen nemen om te voorkomen dat ze worden getroffen door deze nieuwe phishing-aanval. Deze omvatten onder meer het toestaan ​​dat bekende apparaten verbinding maken met Teams, het opleiden van werknemers over hoe phishing- en malware-aanvallen worden uitgevoerd en het beoordelen van verdachte inlogactiviteiten.