Microsoft Teams: l’aggiornamento fake contiene il virus Cobalt Strike

()

Microsoft Teams: l’aggiornamento fake contiene il virus Cobalt Strike

I cybercriminali usano falsi aggiornamenti di Microsoft Teams per indurre gli utenti a scaricare virus: ecco cosa si rischia e come difendersi

Gli hacker approfittano del Covid-19 e del conseguente boom dello smartworking per lanciare campagne e veicolare virus anche tramite le piattaforme divideoconferenza, come Microsoft Teams. La piattaforma di Microsoft, infatti, sembra al centro di una campagna di tipo “FakeUpdates“: gli utenti vengonoinvitati a scaricare e installare un falso aggiornamento che, in realtà, serve solo a fare entrare un virus nel dispositivo usato.

Nel 2019 sono stati osservati numerosi attacchi FakeUpdates che distribuivano il ransomware DoppelPaymer, quest’anno, invece, si assiste ad unaevoluzione tecnica che ha spinto la stessa Microsoft ha diffondere un avviso a molti amministratori di gruppi di lavoro su Teams. Recentemente, adesempio, sono stati veicolati tramite Teams nuovi virus in grado di sfruttare la famosa vulnerabilità ZeroLogon di Windows. Ma c’è anche di più (e di moltopeggio): sono stati individuati degli annunci su Google tramite i quali gli utenti che cercavano l’app di Teams venivano dirottati verso un sito creato ad arteper scaricare una versione fake e infetta della piattaforma di videoconferenze di Microsoft.

Microsoft Teams: i pericoli della versione fake

Quando un utente entra nel sito e fa click per scaricare l’aggiornamento fake di Microsoft Teams viene scaricato, oltre all’app originale di Teams (che vienefatta scaricare solo per non creare sospetti nell’utente), un “Payload“, cioè un primo virus che serve a inviare informazioni agli hacker e a scaricare altrimalware dopo essersi intrufolato nel computer della vittima .In alcuni casi il payload era Predator the Thief, che invia informazioni sensibili all’attaccante come credenziali di accesso, i dati sul browser utilizzato equelli sui metodi di pagamento registrati. Altri malware distribuiti con lo stesso sistema sono la backdoor Bladabindi (NJRat) e ZLoader. Nel caso piùrecente di infezione registrato da Microsoft è stato scaricato Cobalt Strike, che in teoria non è un virus ma viene usato come tale.

Come funziona Cobalt Strike e perché è pericoloso

Cobalt Strike è uno strumento che, in teoria, dovrebbe proteggerci dai virus: serve infatti a fare una scansione del sistema in cerca di falle di sicurezza chepotrebbero permettere ai malware di entrare nel dispositivo. Se comandato da remoto, però, può essere usato come un vero e proprio virus e può inviaread un server le nostre informazioni bancarie, le password e vari altri dati sensibili. Microsoft ha anche notato alcuni casi in cui, tramite il metodo appena descritto, è stato scaricato un ransomware che ha criptato l’intera memoria di archiviazione al fine di chiedere un riscatto all’utente per avere di nuovo accesso ai propri dati.

Come difendersi dagli attacchi hacker su Teams

Dalla descrizione del metodo usato dagli hacker per veicolare malware tramite Teams emerge chiaramente che l’infezione non inizia dentro Teams, mafuori: su un sito Web nel quale l’utente finisce per sbaglio quando cerca di installare una copia autentica dell’app di Microsoft.Il colosso di Redmond, per questo, consiglia di usare un browser in grado di filtrare e bloccare i siti che distribuiscono malware e software pericolosi.Consiglia anche, su computer con Windows, di limitare i privilegi concessi agli utenti che accedono al PC perché se uno di questi virus riesce ad entraredurante la sessione di un amministratore può fare molti più danni. Infine, Mirosoft consiglia anche il blocco del codice JavaScript e VBScript che potrebbe comandare il download di software pericoloso da Internet.

/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?