This post is also available in: Português
Cibercriminosos estão usando anúncios falsos e maliciosos de atualizações do Microsoft Teams para infectar sistemas com backdoors que implantam Cobalt Strike para comprometer o restante da rede.
O alvo desses ataques são organizações de vários setores, mas ultimamente estão focados no setor de educação, que depende de videoconferências por conta das restrições da COVID-19.
Segundo o BleepingComputer, em um comunicado de segurança privado, a Microsoft está alertando seus clientes sobre campanhas de atualizações falsas.
O Cobalt Strike é uma ferramenta comum de simulação de ataque usada por cibercriminosos para espalhar malware, principalmente ransomware.
Os cibercriminosos foram vistos recentemente usando o Cobalt Strike em ataques que exploram o Zerologon, uma falha de elevação de privilégio, que permite que os invasores acessem um controlador de domínio e comprometam completamente todos os serviços de identidade do Active Directory.
Em seu comunicado, a Microsoft disse ter identificado invasores na última campanha de falsa atualização usando anúncios em mecanismos de busca para enviar os principais resultados do software Teams para um domínio que eles controlam e usam para atividades maliciosas.
Se as vítimas clicarem no link, uma carga que executa um script do PowerShell, que carrega conteúdo malicioso, será baixada. O link também instala uma cópia válida do Microsoft Teams no sistema para parecer legítimo e evitar alertar as vítimas sobre o ataque.
O malware distribuído nessa campanha inclui o Predator the Thief, que rouba dados confidenciais, como credenciais, navegador e dados de pagamento.
Além das campanhas de atualizações falsas que usam iscas do Microsoft Teams, a Microsoft viu padrões de ataques semelhantes em pelo menos seis outras campanhas com variações do mesmo tema, sugerindo um ataque mais amplo pelos mesmos cibercriminosos.
A Microsoft ofereceu uma série de técnicas de mitigação para a última onda de ataques de atualizações falsas. A empresa está recomendando que as pessoas façam uso de navegadores que posam filtrar e bloquear sites maliciosos e garantir que as senhas do administrador local sejam fortes e seguras.
Os privilégios de administrador também devem ser limitados a usuários essenciais e evitar contas de serviço em todo o domínio que tenham as mesmas permissões de um administrador.
A Microsoft ainda informou que as organizações podem limitar sua superfície de ataque para manter invasores afastados, bloqueando arquivos executáveis que não atendem a critérios específicos ou impedindo que códigos JavaScripit e VBScript baixem conteúdo executável.
Gostou do conteúdo? Você sabia que campanhas de atualizações falsas trata-se de golpes de phishing?
Acesse este link para aprofundar seu conhecimento sobre o tema.
This post is also available in: Português
