Frode di phishing di Microsoft Teams inganna i lavoratori in ferie | ENBLE
Phishing di Microsoft Teams truffa lavoratori in ferie | ENBLE
I criminali informatici stanno diventando così sofisticati con il malware che stanno facendo sembrare i link come un avviso sul periodo di ferie dell’azienda.
È stato scoperto un nuovo phishing chiamato “DarkGate Loader” che mira a Microsoft Teams. Può essere identificato con un messaggio e un link che recita “modifiche al programma delle ferie”. Cliccando su questo link e accedendo ai file .ZIP corrispondenti, si può diventare vulnerabili al malware allegato.
Il team di ricerca di Truesec ha osservato DarkGate Loader dall’inizio di agosto e ha notato che i criminali informatici hanno utilizzato un processo di download complesso che rende difficile identificare il file come malintenzionato.
I criminali informatici sono stati in grado di utilizzare account Office 365 compromessi per inviare il messaggio infetto da malware con il link “modifiche al programma delle ferie” tramite Microsoft Teams. Truesec ha individuato gli account che sono stati presi di mira dai criminali per inviare il malware DarkGate Loader. Questi includono “Akkaravit Tattamanas” (63090101@my.buu.ac.th) e “ABNER DAVID RIVERA ROJAS” (adriverar@unadvirtual.edu.co).
Il malware comprende uno script VBScript infetto nascosto all’interno di un LNK (un collegamento Windows). Il team di ricerca nota che l’attacco è astuto a causa del suo URL SharePoint, che rende difficile per gli utenti rendersi conto che si tratta di un file dannoso. Anche il tipo di script cURL precompilato per Windows rende il codice più difficile da identificare perché il codice è nascosto in mezzo al file.
- Questo piccolo PC è una grande cosa un sacco di porte e potenza per...
- Ottieni Windows 11 Pro su tre dispositivi per soli $30
- I migliori monitor dual-setup per massimizzare la tua produttività ...
Lo script è in grado di individuare se l’utente ha installato l’antivirus Sophos. In caso contrario, il malware può iniettare ulteriore codice, in un attacco chiamato “stacked strings”, che apre uno shellcode che crea un eseguibile DarkGate che viene caricato nella memoria di sistema, ha aggiunto il team.
DarkGate Loader non è l’unico phishing che ha infestato Microsoft Teams quest’estate. Un gruppo di hacker russi chiamato Midnight Blizzard è riuscito a utilizzare un exploit di ingegneria sociale per attaccare circa 40 organizzazioni ad agosto. Gli hacker hanno utilizzato account Microsoft 365 di piccole imprese che erano già stati compromessi e si sono fatti passare per il supporto tecnico al fine di eseguire gli attacchi. Microsoft ha successivamente affrontato il problema, secondo Windows Central.
Lo scorso autunno, una tendenza comune erano le campagne di compromissione delle e-mail aziendali (BEC), che sono phishing in cui un attore malintenzionato, travestito da capo azienda, invia un’e-mail che sembra essere una catena di e-mail inoltrate, con istruzioni a un dipendente di inviare denaro.
Un altro exploit famigerato è stato la vulnerabilità zero-day di Windows chiamata Follina. I ricercatori l’hanno scoperta la scorsa primavera e hanno determinato che consentiva agli hacker di accedere allo Strumento diagnostico di supporto di Microsoft, comunemente associato a Microsoft Office e Microsoft Word.
