Kötü amaçlı yazılım dağıtmak için Microsoft Teams’teki kolayca istismar edilebilecek bir sorundan yararlanan yeni bir kimlik avı kampanyası araştırmacılar tarafından işaretlendi.
Microsoft Teams kullanıcılarına kötü amaçlı yazılım dağıtma
Geçtiğimiz ayın sonlarında Truesec araştırmacıları, kurumsal hedeflere kötü amaçlı ek içeren İK temalı mesajlar gönderen, güvenliği ihlal edilmiş iki Microsoft 365 hesabını tespit etti.
İki mesaj da aynıydı: Öngörülemeyen koşullar nedeniyle tatil programında değişiklikler olduğunu ve alıcının bunlardan etkilenebileceğini iddia ettiler.
MS Teams sohbet mesajlarından birinin ekran görüntüsü. (Kaynak: Truesec)
Ekli dosya – Tatil programında değişiklikler.zip – bir SharePoint sitesinden indirilir ve bir kez açıldığında, DarkGate yükleyici Windows çalıştırılabilir dosyasını yüklemek için kabuk kodunu başlatan bir AutoIT betiğinin yürütülmesine yol açar.
DarkGate yükleyicisi 2017’den beri piyasada. Başlangıçta yalnızca geliştirici tarafından kullanılıyordu, ancak yakın zamanda sınırlı sayıda bağlı kuruluş tarafından kullanılabilir hale geldi.
Yükleyicinin ayrıca kripto madenciliği, tarayıcı geçmişi ve çerez hırsızlığı, uzaktan erişim ve kontrol gibi başka yetenekleri de vardır.
Microsoft Teams yoluyla kimlik avı yeni değil
Daha önce de belirtildiği gibi, Jumpsec araştırmacıları yakın zamanda Microsoft Teams’de, harici kiracıların (kuruluş dışındaki M365 kullanıcıları) çalışanlara dosya göndermesine izin vermeyen istemci tarafı güvenlik kontrollerini atlayarak, tehdit aktörlerinin çalışanların gelen kutularına kötü amaçlı yazılım göndermesine izin verebilecek bir hatayı ortaya çıkardılar. .
Bu saldırı yolu, kısa süre sonra süreci otomatikleştiren bir aracın piyasaya sürülmesiyle daha da kolaylaştı ve siber suçlular ve diğer saldırganlar bunu fark etti.
Truesec’in kıdemli siber güvenlik danışmanı Jakob Nordenlund, “Maalesef Güvenli Ekler veya Güvenli Bağlantılar gibi mevcut Microsoft Teams güvenlik özellikleri bu saldırıyı tespit edemedi veya engelleyemedi” dedi.
“Şu anda Microsoft Teams içindeki bu saldırı vektörünü önlemenin tek yolu, Microsoft Teams’in yalnızca belirli harici alanlardan gelen sohbet isteklerine izin vermektir; ancak tüm güvenilir harici alanların bir BT yöneticisi tarafından beyaz listeye alınması gerektiğinden bunun iş açısından sonuçları olabilir.”