Crea sito
12 / 100

Microsoft Teams: l’aggiornamento fake contiene il virus Cobalt Strike

I cybercriminali usano falsi aggiornamenti di Microsoft Teams per indurre gli utenti a scaricare virus: ecco cosa si rischia e come difendersi

Gli hacker approfittano del Covid-19 e del conseguente boom dello smartworking per lanciare campagne e veicolare virus anche tramite le piattaforme di
videoconferenza, come Microsoft Teams. La piattaforma di Microsoft, infatti, sembra al centro di una campagna di tipo “FakeUpdates“: gli utenti vengono
invitati a scaricare e installare un falso aggiornamento che, in realtà, serve solo a fare entrare un virus nel dispositivo usato.
Nel 2019 sono stati osservati numerosi attacchi FakeUpdates che distribuivano il ransomware DoppelPaymer, quest’anno, invece, si assiste ad una
evoluzione tecnica che ha spinto la stessa Microsoft ha diffondere un avviso a molti amministratori di gruppi di lavoro su Teams. Recentemente, ad
esempio, sono stati veicolati tramite Teams nuovi virus in grado di sfruttare la famosa vulnerabilità ZeroLogon di Windows. Ma c’è anche di più (e di molto
peggio): sono stati individuati degli annunci su Google tramite i quali gli utenti che cercavano l’app di Teams venivano dirottati verso un sito creato ad arte
per scaricare una versione fake e infetta della piattaforma di videoconferenze di Microsoft.

Microsoft Teams: i pericoli della versione fake

Quando un utente entra nel sito e fa click per scaricare l’aggiornamento fake di Microsoft Teams viene scaricato, oltre all’app originale di Teams (che viene
fatta scaricare solo per non creare sospetti nell’utente), un “Payload“, cioè un primo virus che serve a inviare informazioni agli hacker e a scaricare altri
malware dopo essersi intrufolato nel computer della vittima.
In alcuni casi il payload era Predator the Thief, che invia informazioni sensibili all’attaccante come credenziali di accesso, i dati sul browser utilizzato e
quelli sui metodi di pagamento registrati. Altri malware distribuiti con lo stesso sistema sono la backdoor Bladabindi (NJRat) e ZLoader. Nel caso più
recente di infezione registrato da Microsoft è stato scaricato Cobalt Strike, che in teoria non è un virus ma viene usato come tale.

Come funziona Cobalt Strike e perché è pericoloso

Cobalt Strike è uno strumento che, in teoria, dovrebbe proteggerci dai virus: serve infatti a fare una scansione del sistema in cerca di falle di sicurezza che
potrebbero permettere ai malware di entrare nel dispositivo. Se comandato da remoto, però, può essere usato come un vero e proprio virus e può inviare
ad un server le nostre informazioni bancarie, le password e vari altri dati sensibili.
Microsoft ha anche notato alcuni casi in cui, tramite il metodo appena descritto, è stato scaricato un ransomware che ha criptato l’intera memoria di
archiviazione al fine di chiedere un riscatto all’utente per avere di nuovo accesso ai propri dati.

Come difendersi dagli attacchi hacker su Teams

Dalla descrizione del metodo usato dagli hacker per veicolare malware tramite Teams emerge chiaramente che l’infezione non inizia dentro Teams, ma
fuori: su un sito Web nel quale l’utente finisce per sbaglio quando cerca di installare una copia autentica dell’app di Microsoft.
Il colosso di Redmond, per questo, consiglia di usare un browser in grado di filtrare e bloccare i siti che distribuiscono malware e software pericolosi.
Consiglia anche, su computer con Windows, di limitare i privilegi concessi agli utenti che accedono al PC perché se uno di questi virus riesce ad entrare
durante la sessione di un amministratore può fare molti più danni. Infine, Mirosoft consiglia anche il blocco del codice JavaScript e VBScript che potrebbe
comandare il download di software pericoloso da Internet.

By Officine Informatiche Roma

Pagina dedicata a chi cerca un lavoro nel mondo dell'ICT, consigli, suggerimenti, soluzioni e ovviamente, annunci di offerta e ricerca. -Sono collegato a diverse societa' che fanno ricerca di personale qualificato. -Seleziono le loro richieste, e valuto CV. -Propongo i candidati potenziali alle aziende che ne fanno richiesta. -Seleziono con test psicologici e tecnici variabiili a seconda della figura professionale. -Svolgo infine anche colloqui via Skype per maggiori approfondimenti se e' necessario. Se siete interessati a questo annuncio inviate una email con cV e Presentazionea : [email protected]

Translate »