Una recente scoperta ha rivelato che Microsoft Teams, utilizzato da milioni di persone per la comunicazione aziendale, è diventato un nuovo vettore di distribuzione per il malware DarkGate. Sebbene gli attacchi di phishing tramite e-mail siano ormai noti, l’accesso esterno abilitato di default da Microsoft che consente agli utenti di aggiungere membri esterni alle chat di gruppo, ha aperto una nuova opportunità per gli hacker di sfruttare utenti inconsapevoli.
Recentemente, un cliente del servizio AT&T Cybersecurity Managed Detection and Response (MDR) ha segnalato attività sospette su Teams. Un utente esterno al dominio aziendale stava inviando messaggi non richiesti a diversi membri interni, sollevando sospetti di phishing. Con l’assistenza del team SOC MDR di AT&T Cybersecurity, è stato scoperto che gli utenti bersaglio stavano ricevendo inviti a chat di gruppo contenenti allegati dannosi.
I cyber criminali utilizzavano le richieste di chat di gruppo su Teams per inviare oltre 1.000 inviti dannosi. Una volta accettato l’invito, le vittime venivano indotte a scaricare un file con una doppia estensione: “Navigating Future Changes October 2023.pdf.msi” (una strategia “ordinaria” di DarkeGate”, l’agente malevolo scoperto dagli esperti di sicurezza informatica alla fine del 2017), che in realtà era un payload per il malware DarkGate. Una volta installato, il malware si connetteva a un server di comando e controllo per consentire agli aggressori di assumere il controllo dei sistemi compromessi.
La diffusione di DarkGate attraverso Teams è particolarmente preoccupante data la vasta base di utenti attivi della piattaforma, che conta oltre 280 milioni di utenti al mese. Gli autori delle minacce si affidano alla configurazione predefinita di Teams e alla mancanza di restrizioni degli amministratori per veicolare con successo il loro malware all’interno delle organizzazioni.
Con queste informazioni, il team SOC MDR di AT&T Cybersecurity è stato in grado di identificare gli utenti presi di mira, nonché i download di file sospetti avviati da alcuni di loro, e di bloccare l’attacco prima che causasse danni significativi.