Firma Microsoft ostrzega przed nowym zagrożeniem złośliwym oprogramowaniem rozpowszechnianym za pośrednictwem czatów w aplikacji Teams

Firma Microsoft wysłała alert dotyczący cyberbezpieczeństwa dotyczący ugrupowania zagrażającego, które wykorzystuje czaty w aplikacji Microsoft Teams do dystrybucji złośliwego oprogramowania. Aktor zagrożenia został oznaczony jako Storm-0324, a Microsoft twierdzi, że grupa ta jest aktywna od 2016 roku.

W poście na blogu Microsoft stwierdził, że w lipcu 2023 r. „Zaobserwowano, że Storm-0324 rozpowszechniał ładunki za pomocą narzędzia typu open source do wysyłania przynęt phishingowych za pośrednictwem czatów Microsoft Teams”. W blogu dodano, że od 2019 r. grupa dystrybuowała głównie złośliwe oprogramowanie JSSLoader. To złośliwe oprogramowanie może następnie zostać wykorzystane przez inną grupę zagrożeń znaną jako Sangria Tempest do umieszczenia plików oprogramowania ransomware na komputerze PC.

Microsoft wyjaśnił:

Łańcuch dostaw Storm-0324 zaczyna się od wiadomości e-mail typu phishing, odnoszących się do faktur lub płatności i zawierających łącze do witryny SharePoint, w której znajduje się archiwum ZIP. Firma Microsoft w dalszym ciągu pracuje na swoich platformach, aby identyfikować nadużycia, eliminować złośliwą aktywność i wdrażać nowe proaktywne zabezpieczenia, aby zniechęcić złośliwe podmioty do korzystania z naszych usług.

Microsoft dodaje, że te e-maile mogą wyglądać jak prawdziwe dokumenty od takich firm jak DocuSign, Quickbooks i innych. W niektórych przypadkach pliki te wymagają również wpisania przez ofiarę złośliwego oprogramowania kodu zabezpieczającego lub hasła. Dzięki temu fałszywe dokumenty mogą wyglądać bardziej realistycznie.

Microsoft twierdzi, że podjął szereg działań, aby zapobiec rozprzestrzenianiu się tego rodzaju złośliwego oprogramowania w czatach Teams. Obejmuje to zawieszenie kont, w przypadku których potwierdzono, że były zaangażowane w oszukańczą działalność.

Dodano także ulepszenia funkcji Akceptuj/Blokuj w czatach jeden na jednego w aplikacji Teams. Firma nałożyła także nowe ograniczenia na „tworzenie domen w ramach dzierżawców i ulepszone powiadomienia dla administratorów dzierżawców, gdy w ich dzierżawach tworzone są nowe domeny”.

Firma Microsoft podaje także szereg sposobów, w jakie firmy korzystające z czatów zespołu mogą podjąć środki zapobiegawcze przed wpływem tego nowego ataku typu phishing. Obejmują one zezwalanie tylko znanym urządzeniom na łączenie się z Teams, a także edukowanie pracowników na temat sposobów przeprowadzania ataków typu phishing i złośliwego oprogramowania oraz sprawdzanie podejrzanych działań związanych z logowaniem.