研究人員發現，威脅行為者正通過在聊天線程中植入惡意文檔來針對Microsoft Teams用戶，這些惡意文檔執行木馬程序，最終可以接管終端用戶的電腦。

據一份報告稱，1月份，Check Point公司Avanan的研究人員開始跟蹤該活動，該活動會在Teams對話中刪除惡意可執行文件，用戶點擊這些文件后，這些文件最終會接管用戶的電腦。

Avanan Jeremy Fuchs 的網絡安全研究員和分析師在一篇文章中寫道：“使用可執行文件或包含系統執行指令的文件，黑客可以安裝DLL文件并允許程序自我管理和控制計算機?！薄巴ㄟ^將文件附加到Teams攻擊中，黑客找到了一種輕松瞄準數百萬用戶的新方法。”

長期以來，網絡犯罪分子一直瞄準微軟無處不在的文檔創建和共享套件——傳統的Office及其基于云計算的版本Office 365——攻擊套件中的單個應用程序，如PowerPoint以及企業電子郵件泄露和其他詐騙。

現在，Microsoft Teams(一種業務通信和協作套件)正在成為越來越受網絡犯罪歡迎的攻擊平臺。

這種興趣可能歸因于它在COVID-19大流行期間的使用量激增，因為許多組織的遠程工作員工都依賴該應用程序進行協作。事實上，Teams的每日活躍用戶數量幾乎翻了一番，從2020年4月的7500萬用戶增加到2021年第二季度的1.45億用戶。

Fuchs指出，針對Teams的最新活動表明，人們對協作應用程序的理解有所增加，這將使針對它的攻擊的復雜程度和數量都增加?！半S著Teams使用量的不斷增加，Avanan預計此類攻擊會顯著增加，”他寫道。

入侵Teams

Fuchs指出，為了在Teams中植入惡意文檔，研究人員首先必須訪問該應用程序。這可以通過多種方式實現，利用網絡釣魚，通過最初的電子郵件妥協來獲得證書或其他進入網絡的途徑。

Fuchs寫道：“他們可以損害合作伙伴組織的利益，監聽組織間的聊天?！薄八麄兛梢孕孤峨娮余]件地址并使用它來訪問Teams。他們可以竊取Microsoft 365憑據，讓他們全權訪問Teams和Office套件的其余部分?！?/p>

他指出，一旦攻擊者獲得對Teams的訪問權限，就很容易導航并繞過任何安全保護措施。這是因為“缺乏默認的Teams保護，因為對惡意鏈接和文件的掃描受到限制”，并且“許多電子郵件安全解決方案無法為Teams提供強大的保護?！?/p>

他說，Teams很容易被黑客入侵的另一個原因是，終端用戶理所當然地信任該平臺，在使用它時會隨意共享敏感甚至機密數據。

Fuchs寫道：“例如，Avanan經過對使用Teams的醫院的分析發現，醫生在Teams平臺上幾乎不受限制地共享患者醫療信息。”“醫務人員通常知道通過電子郵件共享信息的安全規則和風險，但在涉及Teams時會忽略這些。在他們看來，一切都可以通過Teams發送?！?/p>

此外，幾乎每個Teams用戶都可以邀請來自其他部門或其他公司的人員通過該平臺進行協作，并且由于人們的信任，這些請求通常會受到“最小的監督”，他補充說。

特定的攻擊向量

在Avanan研究人員觀察到的攻擊向量中，攻擊者首先通過上述方式之一訪問Teams，例如欺騙用戶的網絡釣魚電子郵件，或通過對網絡的橫向攻擊。

然后，威脅行為者將一個.exe文件附加到一個名為“以用戶為中心”的聊天中，這實際上是一個特洛伊木馬。對于最終用戶來說，它看起來是合法的，因為它似乎來自受信任的用戶。

“當有人將文件附加到Teams聊天中時，尤其是使用聽起來無害的文件名‘User Centric’時，許多用戶不會三思而后行，而是毫不猶豫地點擊它，”Fuchs寫道。

他說，如果發生這種情況，可執行文件將安裝DLL文件，這些文件將惡意軟件安裝為Windows程序，并創建快捷鏈接以在受害者的機器上進行自我管理。惡意軟件的最終目標是接管機器并執行其他惡意活動。

本文翻譯自：https://threatpost.com/microsoft-teams-targeted-takeover-trojans/178497/如若轉載，請注明原文地址。