Gli attacchi di phishing stanno sfruttando le richieste di chat di gruppo su Microsoft Teams per distribuire allegati malevoli che installano il payload del malware DarkGate sui sistemi delle vittime. Gli aggressori, utilizzando un utente (o dominio) di Teams apparentemente compromesso, hanno inviato oltre 1.000 inviti malevoli a chat di gruppo, come rivelato dalla ricerca di AT&T Cybersecurity.
Dopo che le vittime accettano la richiesta di chat su Microsoft Teams, vengono ingannate nel scaricare un file con doppia estensione denominato ‘Navigating Future Changes October 2023.pdf.msi’, un tattica comune di DarkGate. Una volta installato, il malware si collega al suo server di comando e controllo all’indirizzo hgfdytrywq.com, confermato come parte dell’infrastruttura di DarkGate da Palo Alto Networks.
Questo attacco di phishing è reso possibile dalla configurazione predefinita di Microsoft Teams, che consente agli utenti esterni di inviare messaggi ad altri utenti di tenant diversi. Gli esperti di AT&T Cybersecurity raccomandano di disabilitare l’Accesso Esterno in Microsoft Teams a meno che non sia strettamente necessario per l’uso aziendale quotidiano, considerando l’email come un canale di comunicazione più sicuro e monitorato.
Microsoft Teams, con la sua vasta base di 280 milioni di utenti mensili, rappresenta un obiettivo attraente per gli attori delle minacce. I criminali informatici sfruttano Teams per veicolare il malware DarkGate, specialmente nelle organizzazioni dove gli amministratori non hanno disabilitato l’impostazione di Accesso Esterno.
Campagne simili sono state osservate l’anno scorso, con il malware DarkGate distribuito tramite account Office 365 e Skype compromessi. Broker di accesso iniziale come Storm-0324 hanno utilizzato Microsoft Teams per il phishing, violando le reti aziendali con l’ausilio di TeamsPhisher, uno strumento che sfrutta una vulnerabilità di sicurezza in Teams, permettendo agli aggressori di inviare payload malevoli nonostante le protezioni client-side.
L’APT29, divisione hacker del Servizio di Intelligence Estero della Russia (SVR), ha sfruttato la stessa vulnerabilità per prendere di mira organizzazioni in tutto il mondo, inclusi enti governativi.
