Pesquisadores de segurança alertam que alguns invasores estão comprometendo contas do Microsoft Teams para entrar em bate-papos e espalhar executáveis maliciosos entre os participantes da conversa. Mais de 270 milhões de usuários utilizam Teams todos os meses, muitos deles confiando na plataforma implicitamente, apesar da ausência de proteções contra arquivos maliciosos.
Pesquisadores da Avanan, uma empresa da Check Point Software, que protege e-mail na nuvem e plataformas de colaboração, descobriram que hackers estão soltando arquivos executáveis maliciosos em conversas na plataforma de comunicação da Microsoft.
Os ataques começaram em janeiro e a empresa detectou milhares deles, disse o pesquisador de ameaças da Avanan, Carl Rogers, ao BleepingComputer. A partir dos dados disponíveis, a maioria dos ataques foi registrada em organizações na região dos Grandes Lagos nos EUA, principalmente nos meios de comunicação locais.
Em um relatório recente, a Avanan diz que o operador da ameaça insere em um bate-papo um arquivo executável chamado “User Centric” para induzir o usuário a executá-lo. Uma vez executado, o malware grava os dados no registro do sistema, instala as DLLs (Dynamic-link libraries, ou bibliotecas compartilhadas).
“Neste ataque ao Teams, os hackers anexaram um documento de trojan malicioso [cavalo de Tróia] a um tópico de bate-papo. Quando clicado, o arquivo acaba tomando conta do computador do usuário”, diz o documento da Avanan.
Veja isso
Chamadas do Teams poderão ser criptografadas a partir de julho
Phishing falsifica mensagens do Microsoft Teams
O método usado para obter acesso às contas do Teams ainda não está claro, mas algumas possibilidades incluem roubar credenciais de e-mail ou o Microsoft 365 por meio de phishing ou do comprometimento de uma organização parceira.
A análise automática do malware distribuído dessa forma mostra que o trojan pode estabelecer persistência por meio de chaves de execução do “Registro” do Windows ou criando uma entrada na pasta de inicialização. Ele também coleta informações detalhadas sobre o sistema operacional e o hardware em que é executado, juntamente com o estado de segurança da máquina com base na versão do sistema operacional e nos patches instalados.
Confiança excessiva
Embora o ataque seja bastante simples, também pode ser muito eficiente porque muitos usuários confiam nos arquivos recebidos pelo Teams, dizem os pesquisadores da Avanan. A empresa analisou dados de hospitais que usam o Teams e descobriu que os médicos usam a plataforma para compartilhar informações médicas sem restrições.
Embora as pessoas normalmente suspeitem das informações recebidas por e-mail, devido ao treinamento de conscientização de phishing por e-mail, elas não demonstram cautela com os arquivos recebidos pelo Teams, ressalta a Avanan.
Além disso, o Teams fornece recursos de acesso externo e convidado que permitem a colaboração com pessoas de fora da empresa. A Avanan diz que esses convites geralmente são atendidos com um mínimo de supervisão.Os pesquisadores dizem que o problema é agravado pelo “fato de que as proteções padrão do Teams estão faltando, pois a verificação de links e arquivos maliciosos é limitada” e “muitas soluções de segurança de e-mail não oferecem proteção robusta para o Teams”.