A cibercriminalidade tem evoluído, e com ela, novas ameaças têm surgido, explorando as vulnerabilidades existentes em plataformas amplamente utilizadas. Um desses cenários emergentes é o phishing no Microsoft Teams, que se tornou uma ferramenta atrativa para cibercriminosos. Entenda mais sobre um recente ataque de phishing no Microsoft Teams, revelando como os invasores distribuíram o malware DarkGate por meio de bate-papos em grupo, destacando a necessidade de conscientização e ação proativa por parte das organizações.
Recentemente, observou-se uma nova abordagem de ataques de phishing que abusam das solicitações de bate-papo em grupo no Microsoft Teams. Utilizando aparentemente usuários comprometidos, os cibercriminosos enviaram mais de 1.000 convites maliciosos para bate-papo em grupo, conforme revelado pela pesquisa da AT&T Cybersecurity. Essa tática permitiu que os invasores persuadissem os alvos a baixarem um arquivo com uma extensão dupla, conhecida como ‘Navigating Future Changes October 2023.pdf.msi’, característica do malware DarkGate.
Uma vez instalado, o DarkGate estabelece uma conexão com seu servidor de comando e controle em hgfdytrywq[.]com, identificado como parte da infraestrutura de malware DarkGate pela Palo Alto Networks. Este ataque destaca a vulnerabilidade presente no Microsoft Teams, onde usuários externos podem enviar mensagens a usuários de outros locatários por padrão.
Peter Boyle, engenheiro de segurança de rede da AT&T Cybersecurity, alerta que, a menos que seja estritamente necessário para o uso diário de negócios, desabilitar o acesso externo no Microsoft Teams é aconselhável. Ele ressalta que o e-mail continua sendo um canal de comunicação mais seguro e monitorado mais de perto, sendo crucial treinar os usuários para identificar mensagens não solicitadas e estar cientes das várias formas que o phishing pode assumir.
O Microsoft Teams como alvo atraente
O Microsoft Teams, com seus impressionantes 280 milhões de usuários mensais, tornou-se um alvo atraente para os agentes de ameaças. Os operadores do DarkGate exploram essa vasta base de usuários, usando o Teams como vetor de ataques direcionados a organizações cujos administradores negligenciaram a configuração de acesso externo.
Campanhas semelhantes foram registradas no passado, incluindo o uso de contas comprometidas do Office 365 e contas do Skype para distribuir malware DarkGate. Além disso, o TeamsPhisher, uma ferramenta disponível publicamente, tem sido empregado por invasores, contornando as proteções do lado do cliente no Microsoft Teams.
A ascensão do Malware DarkGate
O Bleeping Computer lembra que após a interrupção da botnet Qakbot em agosto, os cibercriminosos voltaram-se para o DarkGate como uma preferência para o acesso inicial às redes corporativas. Antes da queda da Qakbot, o desenvolvedor do DarkGate tentou vender assinaturas anuais de US$ 100.000 em um fórum de hackers, destacando recursos avançados, como um VNC oculto, ferramentas anti-Windows Defender, roubo de histórico do navegador, proxy reverso integrado, gerenciador de arquivos e ladrão de tokens Discord.
Essa oferta atrativa resultou em um aumento significativo nas infecções por DarkGate, com os cibercriminosos empregando várias estratégias de entrega, incluindo phishing e malvertising.
Identificando e neutralizando ameaças no Microsoft Teams
Um exemplo recente fornecido pela AT&T Cybersecurity destaca a importância da detecção proativa e resposta a incidentes. Um cliente MDR entrou em contato ao perceber um usuário externo enviando bate-papos suspeitos do Teams para membros internos. A rápida ação da equipe SOC MDR identificou usuários-alvo e downloads suspeitos, impedindo o ataque associado ao DarkGate.
O phishing no Microsoft Teams é uma realidade emergente que exige atenção e ação imediata por parte das organizações. Desabilitar o acesso externo, a menos que seja essencial, é uma medida prudente para a maioria das empresas, conforme destaca Boyle. A conscientização contínua dos usuários sobre as ameaças potenciais, mesmo em plataformas de comunicação aparentemente seguras, é crucial.
