Sebbene la maggior parte delle attività di Teams è intra-organizzativa, Microsoft abilita l’accesso esterno per impostazione predefinita, consentendo ai membri di un’organizzazione di aggiungere alle chat di Teams utenti esterni all’organizzazione. Purtroppo questa funzionalità ha fornito ai criminali informatici un nuovo modo per ingannare utenti inesperti o inconsapevoli.
La segnalazione dell’incidente
In un recente incidente il team MDR (Managed Detection and Response) di AT&T Cybersecurity, ha rilevato un attacco sofisticato di phishing. In pratica un loro cliente ha segnalato che un utente esterno, non affiliato alla propria organizzazione, avrebbe avviato chat Microsoft Teams non richieste con membri interni all’organizzazione. Le indagini avrebbero confermato che le chat erano effettivamente sfruttate come trappole phishing per il rilascio del malware DarkGate.
Alcuni dettagli dell’indagine
Sarebbero stati contrassegnati oltre 1.000 eventi di Microsoft Teams, indicando la portata dell’attacco. Inoltre gli esami avrebbero rivelato che alcuni utenti avevano involontariamente scaricato un file con doppia estensione “Navigating Future Changes October 2023.pdf.msi” secondo una tattica comune utilizzata dagli aggressori per nascondere eseguibili dannosi. La seconda estensione, “.msi” in questo caso, viene nascosta per impostazione predefinita da Windows. In tal modo l’utente, credendo di scaricare un PDF per uso aziendale, riceve invece un programma di installazione dannoso.
“Il cliente ha successivamente fornito il file dannoso al team MDR SOC per un’ulteriore analisi. Dopo la detonazione in una sandbox, il file ha tentato di indirizzarsi al dominio hgfdytrywq[.]com, che è un dominio di comando e controllo (C2) confermato di DarkGate, secondo Palo Alto Networks ( https://github.com/ PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2023-10-12-IOCs-for-DarkGate-from-Teams-chat.txt ). Anche il nome del file è molto simile ai file elencati da Palo Alto Networks e il file con doppia estensione è una nota tattica di DarkGate.“, commenta Peter Boyle SOC Analyst di AT&T Cybersecurity.
L’approccio proattivo
Solo l’intervento tempestivo del team MDR SOC ha sventato l’attacco prima che potesse causare danni significativi, dimostrando quanto sia importante un approccio proattivo nelle misure di sicurezza informatica soprattutto ora che le organizzazioni si affidano sempre più a piattaforme come Teams per il lavoro agile. AT&T Cybersecurity raccomanda nello specifico di considerare la disabilitazione dell’External Access in Microsoft Teams, quando non necessario, e l’addestramento continuo degli utenti per riconoscere e segnalare tutte le declinazioni del phishing.