Microsoft Teams: diffuso malware DarkGate tramite chat di gruppo

La società di sicurezza AT&T Cybersecurity ha scoperto scoperto nuovi attacchi di phishing sfruttano ai danni di utenti Microsoft Teams. Gli hacker utilizzavano le richieste di chat di gruppo per inviare allegati dannosi, che installano payload di malware DarkGate sui sistemi delle vittime. Gli aggressori utilizzavano quello che sembra un utente (o dominio) di Teams compromesso per inviare oltre 1.000 inviti dannosi a chat di gruppo di Teams. Dopo che gli obiettivi hanno accettato la richiesta di chat, gli autori delle minacce li inducono a scaricare un file utilizzando un file con doppia estensione, denominata "Navigating Future Changes October 2023.pdf.msi", una tattica comune di DarkGate. Una volta installato, il malware raggiungerà il suo server di comando e controllo su hgfdytrywq[.]com. Questo è stato già confermato come parte dell'infrastruttura malware DarkGate da Palo Alto Networks.

Microsoft Teams: campagne DarkGate sempre più diffuse sulla piattaforma

Questo attacco di phishing è possibile perché Microsoft consente agli utenti esterni di Microsoft Teams di inviare messaggi agli utenti di altri tenant di default. Teams è diventato un obiettivo attraente per gli autori delle minacce grazie al suo enorme bacino di 280 milioni di utenti mensili. Gli operatori di DarkGate ne approfittano spingendo il loro malware in attacchi contro organizzazioni in cui gli amministratori non hanno protetto i propri tenant disabilitando l'impostazione di accesso esterno. Campagne simili sono state osservate lo scorso anno. Gli hacker utilizzavano il malware DarkGate tramite account Office 365 esterni e account Skype compromessi. Questi servivano ad inviare messaggi contenenti allegati di script del caricatore VBA. Anche i broker di accesso iniziale come Storm-0324 hanno utilizzato il phishing su Teams per violare reti aziendali, sfruttando un problema di sicurezza della piattaforma.

Peter Boyle, ingegnere di AT&T Cybersecurity, in un post sul blog dell’azienda ha indicato alcune raccomandazioni utili per evitare di cadere vittima di phishing. Come dichiarato da Boyle: “A meno che non sia assolutamente necessario per l'uso aziendale quotidiano, disabilitare l'accesso esterno in Microsoft Teams è consigliabile per la maggior parte delle aziende, poiché la posta elettronica è generalmente un canale di comunicazione più sicuro e più attentamente monitorato. Come sempre, gli utenti finali dovrebbero essere addestrati a prestare attenzione alla provenienza dei messaggi non richiesti e bisognerebbe ricordare che il phishing può assumere molte forme oltre la tipica e-mail”.