Gli esperti mettono in guardia da attacchi che sfruttano la piattaforma per condividere malware. Ma ci si può difendere
In periodo di pandemia le piattaforme di comunicazione e collaborazione unificata come Microsoft Teams hanno raggiunto una popolarità come mai prima d’ora. Il sistema di casa Microsoft conta su circa 270 milioni di utenti attivi mensili, ed la tendenza vede questi numeri in costante ascesa.
In questo scenario è lecito attendersi che criminali informatici ed attori nation-state tentino di utilizzare la popolare piattaforma come vettore di attacco.
A partire da gennaio 2022, i ricercatori di sicurezza dell’azienda Avanan, di proprietà del colosso Check Point, hanno osservato una serie di attacchi che sfruttano account compromessi di Microsoft Teams per condividere in chat software malevoli in grado di infettare i partecipanti ad una conversazione.
Gli attacchi sono semplici quanto efficaci, attori malevoli infatti hanno infatti condiviso in conversazioni chat un eseguibile (file .exe) dal nome “User Centric” nel tentativo di indurre i partecipanti ad aprirlo.
Lanciato l’eseguibile, il codice malevolo il processo di infezione del sistema ha inizio.
“A partire da gennaio 2022, Avanan ha osservato come gli hacker rilasciano file eseguibili dannosi nelle conversazioni di Microsoft Teams. Il file scrive i dati nel registro di Windows, installa librerie DLL e crea collegamenti che consentono al programma di auto-gestirsi. Avanan ha assistito a migliaia di questi attacchi al mese”. si legge nell’analisi pubblicata da Avanan.
Va sottolineato che gli attacchi non sfruttano alcuna vulnerabilità nella piatatforma Microsoft e che l’azienda non è in alcun modo responsabile della compromissione dei sistemi dei suoi utenti.
Gli esperti ritengono che gli attaccanti possano lanciare l’attacco compromettendo un’organizzazione partner e ascoltando le chat inter-organizzazione. In un altro scenario di attacco, un attore malevolo potrebbe compromettere un indirizzo e-mail e utilizzarlo per accedere alla piattaforma Teams. La compromissione potrebbe essere estremamente semplice, un attaccante potrebbe recuperare le credenziali di accesso a Microsoft 365 mediante campagne di phishing o da precedenti violazione dei dati.
Ottenuto l’accesso a un’organizzazione, gli attaccanti possono effettuare ricognizione con l’intento di individuare le soluzioni di difesa installate e sfruttare questa conoscenza per determinare quale codice malevole da utilizzare e che abbia la più elevata probabilità di eludere le protezioni esistenti.
La situazione si complica se consideriamo la penuria di soluzioni di sicurezza verticali per Microsoft teams e la scarsa consapevolezza da parte delle aziende alle minacce che possono essere veicolate attraverso questa potente piattaforma.
“Ad aggravare questo problema c’è il fatto che mancano protezioni di default in Teams, poiché la scansione di collegamenti e file dannosi è limitata. Inoltre, molte soluzioni di sicurezza per la protezione della posta elettronica non offrono una protezione valida per Teams”. continua l’analisi. “Gli hacker, che possono accedere agli account Teams tramite attacchi East-West o sfruttando le credenziali che raccolgono mediante attacchi di phishing, avendo poi carta bianca per lanciare attacchi contro milioni di utenti ignari”.
I ricercatori hanno anche spiegato che in alcuni specifici ambienti lavorativi, gli utenti non hanno alcuna percezione della minaccia che potrebbe utilizzare Teams come vettore. Avanan cita il caso degli ospedali in cui il personale interno utilizza questa tecnologia per condividere le informazioni mediche dei pazienti ignorando i rischi associati all’apertura di file quando scambiati attraverso Teams.
“La maggior parte dei dipendenti è stata addestrata a riconoscere e-mail malevoli, ma pochi sanno come assicurarsi che il nome e la foto che vedono in una conversazione di Teams siano reali. È semplice modificare un profilo e diventare chiunque ti piaccia. Quindi, quando qualcuno allega un file a una chat di Teams, in particolare utilizzando un file dal nome innocuo come “User Centric”, molti utenti non ci penseranno due volte ad aprirlo”. conclude il rapporto Avanan. “Questo attacco dimostra che gli hacker stanno iniziando ad utilizzare meglio Teams come potenziale vettore di attacco. Poiché l’utilizzo di Teams continua ad aumentare, Avanan prevede un aumento significativo di questo tipo di attacchi”.
Di seguito è riportato un elenco di raccomandazioni fornite da Avanan:
- Utilizzare di una soluzione di protezione che scarica tutti i file allegati alle chat e li scansiona all’interno di una sandbox per individuare contenuti malevoli.
- Implementare una soluzione di protezione completa che difenda l’azienda da attacchi attraverso tutti i canali comunicazione aziendale, inclusi i Teams.
- Incoraggiare gli utenti delle organizzazioni a contattare l’IT quando ricevono un file sconosciuto o ricevono messaggi non sollecitati con file eseguibili in allegato.
