MicrosoftTeams瞄准可以接管最终用户PC的特洛伊木马??研究人员发现,威胁行为者通过在聊天线程中植入恶意文档来瞄准MicrosoftTeams用户,这些聊天线程执行最终可以接管最终用户计算机的特洛伊木马。电脑。根据一份报告,CheckPoint的Avanan的研究人员在1月开始跟踪该活动,该活动在Teams对话中投放恶意可执行文件,单击这些文件后,最终会接管用户的计算机。“使用可执行文件或包含系统执行指令的文件,黑客可以安装DLL文件并允许程序自我管理和控制计算机,”网络安全研究员和分析师AvananJeremyFuchs在一篇文章中写道.除了Teams攻击之外,黑客还找到了一种可以轻松锁定数百万用户的新方法。”网络犯罪分子长期以来一直瞄准微软无处不在的文档创建和共享套件——传统Office及其基于云的A版Office365——攻击套件中的单个应用程序,如PowerPoint以及企业电子邮件泄露和其他诈骗。现在,MicrosoftTeams是一个业务通信和协作套件,正成为网络犯罪分子日益流行的攻击平台。这种兴趣可能归因于它在COVID-19大流行期间的使用激增,因为许多组织的远程工作人员都依赖该应用程序进行协作。事实上,Teams的每日活跃用户数量几乎翻了一番,从2020年4月的7500万用户增加到2021年第二季度的1.45亿用户。Fuchs指出,针对Teams的最新活动表明人们对协作应用程序的理解有所提高,这将增加针对它的攻击的复杂性和数量。“随着Teams的使用量持续增加,Avanan预计此类攻击会显着增加,”他写道。黑客TeamsFuchs指出,为了在Teams中植入恶意文档,研究人员首先必须获得对该应用程序的访问权限。这可以通过多种方式实现,使用网络钓鱼、初始电子邮件妥协以获取凭据或其他进入网络的方式。“他们可以破坏合作伙伴组织并窃听组织间的聊天,”Fuchs写道。“他们可以破坏电子邮件地址并使用它来获得对Teams的访问权限。他们可以窃取Microsoft365凭据,使他们能够完全访问Teams和其余的Office套件。”他指出,一旦攻击者获得对Teams的访问权限,就可以轻松导航并绕过任何安全保护措施。这是因为“缺乏默认的Teams保护,因为对恶意链接和文件的扫描是有限的”,而且“许多电子邮件安全解决方案没有为Teams提供强大的保护”。一个原因是最终用户理所当然地信任该平台,并且在使用它时可以随意共享敏感甚至机密数据。“例如,Avanan对使用Teams的医院进行的分析发现,医生在Teams平台上共享几乎无限的患者医疗信息,”Fuchs写道。但当涉及到Teams时,这一点就被忽略了。从他们的角度来看,一切都可以通过Teams发送。”此外,几乎每个Teams用户都可以邀请其他部门或其他公司的人通过该平台进行协作,而且由于人们的信任,这些请求通常会受到“最少的监督”,他补充说。具体攻击向量在Avanan研究人员观察到的攻击向量中,攻击者首先通过上述方式之一获得对Teams的访问权限,例如欺骗用户的网络钓鱼电子邮件,或通过对网络的横向攻击。然后,威胁行为者将一个.exe文件附加到一个名为“以用户为中心”的聊天中,这实际上是一个特洛伊木马。对于最终用户来说,它看起来是合法的,因为它似乎来自受信任的用户。“当有人将文件附加到Teams聊天时,尤其是使用听起来无伤大雅的文件名‘UserCentric’时,许多用户会毫不犹豫地点击它,”Fuchs写道。如果发生这种情况,可执行文件会安装DLL文件,将恶意软件安装为Windows程序,并创建快捷链接以在受害者的机器上进行自我管理,他说。恶意软件的最终目标是接管机器并执行其他恶意活动。本文翻译自:https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如有转载请注明出处。
