- Houve um anúncio sobre os ataques cibernéticos ao Microsoft Teams direcionados a usuários corporativos.
- Para acessar a plataforma Teams, um invasor precisa de credenciais válidas de um dos funcionários da entidade visada.
- Os usuários devem, portanto, garantir que suas credenciais de e-mail sejam mantidas seguras e protegidas.
No passado, e-mails maliciosos eram uma maneira comum de hackers infectarem redes corporativas com malware. Hoje, mais e mais empresas usam ferramentas de colaboração, como o Microsoft Teams, para comunicação interna.
Além disso, essas ferramentas são cada vez mais utilizadas pelas empresas para trabalho remoto durante a pandemia do COVID-19.
Agora, os invasores reconheceram o potencial dessa ferramenta (e de outras) e a estão usando para espalhar malware. Como os funcionários raramente esperam ser direcionados por esses canais, eles tendem a ser menos cautelosos do que o normal, o que os torna alvos fáceis.
Esta postagem no blog descreve como os invasores estão explorando essas vulnerabilidades e o que os usuários podem fazer para proteger a si mesmos e suas organizações contra esses ataques.
Como eles atacam
Microsoft Teams, uma plataforma de colaboração incluída no Microsoft 365 família de produtos, permite que os usuários façam conferências de áudio e vídeo, conversem em vários canais e compartilhem arquivos.
Muitas empresas em todo o mundo adotaram o uso do Microsoft Teams como a ferramenta principal para a colaboração remota de funcionários durante essa pandemia.
Não há vulnerabilidades conhecidas no chat do canal que possam ser exploradas para injetar malware no sistema de um usuário. No entanto, existe um método existente que pode ser usado para fins maliciosos.
O Microsoft Teams permite o compartilhamento de arquivos, desde que o tamanho do arquivo não exceda 100 MB. Um invasor pode carregar qualquer arquivo em qualquer canal público no Microsoft Teams e qualquer pessoa com acesso ao canal poderá baixá-lo.
A partir de um cíber segurança perspectiva, parece uma mina de ouro: de qualquer canal de equipe, você pode acessar todas as conversas e informações, incluindo informações confidenciais ou propriedade intelectual.
Como o Teams permite acessar todas as conversas em diferentes canais que podem conter informações muito confidenciais ou propriedade intelectual. Ele também pode conter arquivos confidenciais compartilhados entre seus usuários.
No entanto, os cibercriminosos motivados financeiramente também podem se beneficiar do Teams, pois podem capturar dados interessantes dentro do Teams, o que pode permitir que eles cometa mais fraudes, como obter informações de cartão de crédito por exemplo.
Diz-se que os invasores começam com e-mails de spear phishing direcionados que contêm links maliciosos. Se eles forem clicados por membros de organizações que usam.
Quando um invasor está tentando acessar o sistema de planejamento de recursos corporativos de uma empresa, a única coisa necessária para o acesso são credenciais válidas para um dos funcionários. Uma maneira comum de obter essas credenciais é executando uma campanha de phishing em usuários que estão na organização de destino.
Depois que um invasor obtém acesso à conta de e-mail de uma vítima, ele pode fazer login por meio do Microsoft Teams e usar o recurso que permite aos usuários importar documentos de outras fontes.
O invasor pode então carregar um documento HTML que contém JavaScript malicioso e vinculá-lo a outro documento que será executado quando aberto por outros funcionários que tenham acesso a ele.
Os ataques também podem ser realizados contra usuários comprando credenciais válidas de um corretor de acesso inicial ou por meio de engenharia social.
Usuários infectados pelo Teams
O invasor pode acessar diretamente todos os canais de comunicação confidenciais entre funcionários, clientes e parceiros. Além disso, os invasores também podem ler e manipular chats privados.
Os ataques vêm na forma de e-mails maliciosos que contêm uma imagem de um documento de fatura. Esta imagem contém um hiperlink criado com códigos maliciosos que é invisível a olho nu, mas fica ativo quando clicado.
Equipes da Microsoft tem visto milhares de ataques de vez em quando. O invasor descarta arquivos maliciosos executáveis em diferentes conversas do Teams. Esses arquivos são trojans e podem ser muito maliciosos para sistemas de computador.
Depois que o arquivo é instalado em seu computador, o computador pode ser sequestrado para fazer coisas que você não pretendia fazer.
Não sabemos qual é o objetivo final dos atacantes. Podemos apenas suspeitar que eles desejam obter mais informações sobre seu alvo ou acesso total aos computadores na rede alvo.
Esse conhecimento pode ter dado a eles a capacidade de realizar algum tipo de fraude financeira ou ciberespionagem.
Sem detecção de link
O que faz o Microsoft Teams vulnerável é que sua infraestrutura não é construída com a segurança em mente. Como tal, não possui um sistema de detecção de links maliciosos e possui apenas um mecanismo de detecção de vírus comum.
Como os usuários tendem a confiar no que está na plataforma que suas empresas fornecem, eles podem ficar vulneráveis ao compartilhamento de malware e serem infectados.
Um nível surpreendente de confiança faz com que os usuários se sintam seguros ao usar uma nova plataforma. Os usuários podem ser muito mais generosos com seus dados do que normalmente seriam.
Os invasores podem não apenas enganar as pessoas colocando arquivos ou links infectados em canais de bate-papo, mas também enviar mensagens privadas aos usuários e enganá-los com habilidades de engenharia social.
A maioria dos usuários não se importará em salvar os arquivos em seus discos rígidos e executar antivírus ou produtos de detecção de ameaças neles antes de abrir os arquivos.
O número de ataques cibernéticos diários continuará aumentando à medida que mais organizações se envolverem nesse tipo de atividade.
Plano de proteção
Para começar, os usuários devem tomar precauções para proteger seus endereços de e-mail, nomes de usuário e senhas.
Para ajudar a lidar com a ameaça da estrutura da equipe, sugerimos que você;
- Habilite a verificação em duas etapas nas contas da Microsoft que você usa para o Teams.
- Se os arquivos forem descartados nas pastas do Teams, adicione mais segurança a esses arquivos. Envie seus hashes para o VirusTotal para garantir que não sejam códigos maliciosos.
- Adicione segurança extra para links compartilhados no Teams e certifique-se de usar serviços de verificação de links respeitáveis.
- Certifique-se de que os funcionários estejam cientes dos riscos envolvidos no uso de plataformas de comunicação e compartilhamento.
Sua organização está usando equipes da Microsoft? Alguém já sofreu ataques cibernéticos na plataforma? Compartilhe suas opiniões na seção de comentários.
