Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.
Para peneliti di Avanan menemukan bahwa peretas mulai menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan di platform komunikasi Microsoft Teams.
Serangan dimulai pada bulan Januari, perusahaan mengatakan dalam sebuah laporan hari ini, dan aktor ancaman memasukkan dalam obrolan file yang dapat dieksekusi yang disebut “User Centric” untuk mengelabui pengguna agar menjalankannya. Setelah dijalankan, malware menulis data ke dalam registri sistem, menginstal DLL dan membuat kegigihan pada mesin Windows.
Metode yang digunakan untuk mendapatkan akses ke akun Teams masih belum jelas tetapi beberapa kemungkinan termasuk mencuri kredensial untuk email atau Microsoft 365 melalui phishing atau membahayakan organisasi mitra.
Analisis otomatis dari malware yang didistribusikan dengan cara ini menunjukkan bahwa trojan dapat membangun kegigihan melalui kunci Windows Registry Run atau dengan membuat entri di folder startup.
Itu juga mengumpulkan informasi terperinci tentang sistem operasi dan perangkat keras yang dijalankannya, bersama dengan status keamanan mesin berdasarkan versi OS dan tambalan yang diinstal.
Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.
Lebih dari 270 juta pengguna mengandalkan Microsoft Teams setiap bulan, banyak dari mereka mempercayai platform secara implisit, meskipun tidak ada perlindungan terhadap file berbahaya.
Perusahaan menganalisis data dari rumah sakit yang menggunakan Teams dan menemukan bahwa dokter menggunakan platform untuk berbagi informasi medis tanpa batas.
Sementara individu biasanya curiga terhadap informasi yang diterima melalui email, karena pelatihan kesadaran phishing email, mereka tidak menunjukkan kehati-hatian dengan file yang diterima melalui Teams.
Selain itu, Teams menyediakan kemampuan akses tamu dan eksternal yang memungkinkan kolaborasi dengan orang-orang di luar perusahaan. Avanan mengatakan bahwa undangan ini biasanya dipenuhi dengan sedikit pengawasan.
Para peneliti mengatakan bahwa masalah ini diperparah oleh “fakta bahwa perlindungan default Teams kurang, karena pemindaian tautan dan file berbahaya terbatas” dan “banyak solusi keamanan email tidak menawarkan perlindungan yang kuat untuk Teams.”
Untuk mempertahankan diri dari serangan semacam itu, Avanan merekomendasikan hal berikut:
• Menerapkan perlindungan yang mengunduh semua file di kotak pasir dan memeriksanya untuk konten berbahaya
• Terapkan keamanan suite lengkap yang kuat yang mengamankan semua lini komunikasi bisnis, termasuk Teams
• Dorong pengguna akhir untuk menghubungi TI saat melihat file yang tidak dikenal
