安全研究人员警告说,一些黑客悄悄潜入Microsoft Teams,并在聊天中传播恶意可执行文件。
Microsoft Teams每月有超过2.7亿的用户量,多数用户对平台的安全性深信不疑,但实际上平台并没有针对恶意文件的保护措施。
以色列云安全服务提供商Avanan的研究人员发现,黑客已经开始利用Microsoft Teams,并在聊天里传播恶意可执行文件。该公司在今日发表的报告中表示,此类型的攻击于1月份开始,黑客会在聊天中插入一个名为“以用户为中心”的可执行文件,诱骗用户点击并运行该文件。用户一旦点击并执行了该文件,恶意软件就会将数据写入系统注册表,并在Windows系统上安装动态链接库文件。
研究人员还表示:“在这类攻击中,黑客会将恶意木马文档附加到聊天线程中。用户点击后,这些木马最终将接管用户的计算机” 。黑客获取Teams帐户方式至今也仍旧不明确,但很大可能性是通过网络钓鱼或者邮件诈骗等手段。对恶意软件的自动分析也表明,木马可以通过 Windows 注册表运行键或通过在启动文件夹中创建条目来建立持久性。同时它也会收集有关操作系统和运行它的硬件的详细信息,以及基于操作系统版本和安装的补丁程序的机器安全状态。
Avanan研究人员称,虽然攻击手段简单,但它却出奇的有效,因为大部分的用户不会怀疑来自teams文件的安全性。该公司分析了使用Teams的医院的数据,发现医生使用该平台可以不受限制地共享医疗信息。在经过电子邮件网络钓鱼意识培训后,用户虽然已经会对收到的邮件信息保持警惕,但对于teams收到的邮件却毫不怀疑。
此外,Teams提供来宾和外部访问功能,允许与公司外部人员进行协作。Avanan说,这些邀请通常会受到最少的监督。“由于对Teams平台不熟悉,许多人只会信任并批准这些请求。在组织内,用户可以很容易地伪装成其他人,无论是CEO、CFO还是IT服务台” 。
研究人员指出,如果不解决默认Teams保护缺乏、扫描恶意链接和文件受限、以及电子邮件安全解决方案无法为Teams提供强大保护等问题,这类事件将会变得更加严重。
Avanan建议可以采取以下措施来防止此类网络攻击:
- 实施保护,下载沙盒中的所有文件并检查它们是否存在恶意内容
- 部署强大的全套安全措施,保护包括团队在内的所有业务通信线
- 鼓励终端用户在看到不熟悉的文件时联系 IT
参考来源:https://www.bleepingcomputer.com/news/security/hackers-slip-into-microsoft-teams-chats-to-distribute-malware/