עולם העסקים חוטף מתקפת פישינג דרךMicrosoft Teams

This post is also available in: English (אנגלית)

גורם זדוני הידוע כמי שעובד עם כנופיות כופר משתמש ב-Microsoft Teams בשביל תקיפות פישינג דרך הצ'אטים.

ידוע כי הכנופייה המונעת כלכלית שנקראת "Storm-0324" משמשת כברוקר גישה ראשוני, כלומר שחקן זדוני אשר משיג גישה למערכות הקורבן ואז מוכר אותה לפושעי סייבר אחרים, מה שמוביל לעתים קרובות לפריסת תוכנות כופר.

הגורם התחיל להשתמש ב-Microsoft Teams כדי להגיע לקורבנות פוטנציאליים, כפי שדווח על ידי חוקרי אבטחה במיקרוסופט- "החל מיולי 2023, Storm-0324 נצפה כשהוא מפיץ מטענים באמצעות כלי קוד פתוח כדי לשלוח הודעות פישינג דרך צ'אטים של Microsoft Teams".

על פי CyberNews, Storm-0324 גם מפיץ מטענים עבור תוקפים אחרים, וידוע כי משתמש בטכניקות התחמקות תוך שימוש בתשלומים ובפתיונות חשבוניות כדי לשדל קורבנות. ידוע כי הפיץ קוד זדוני לכנופיות פשעי הסייבר הרוסיות הידועות לשמצה, FIN7 ו-Cl0p.

המתקפות על Microsoft Teams הולכות כך: תוקפים שולחים לקורבנות קישורים המובילים לקבצים זדוניים המתארחים ב-SharePoint, וכדי להגדיל את היקף המשימה פושעי הסייבר משתמשים TeamsPhisher, אשר "מאפשר למשתמשי Teams לצרף קבצים להודעות הנשלחות למשתמשים חיצוניים".

מנכ"ל My1Login מייק ניומן טוען כי סוג זה של התקפות פישינג מתוחכמות הוא מסוכן יותר מהתקפות פישינג רגילות, שכן סביר שיטעה יותר קורבנות שאינם מבינים שעברייני סייבר יכולים לפרוץ ל- Microsoft Teamsולבצע התקפות. "העובדים סומכים יותר על הכלי, ויש להם סיכוי גבוה יותר לפתוח מסמכים שהם מקבלים בצ'אטים", אמר.

מיקרוסופט מסבירה שאם גישה חיצונית מופעלת בארגון, פלטפורמת Teams מזהה את פיתויי הפישינג האלה כמשתמשים "חיצוניים". החברה גם הודיעה כי השעתה חשבונות ומשתמשים הקשורים להתנהגות זדונית והעבירה שינויים והגבלות כדי להגן על הלקוחות.

"מערכות צ'אט כמו Slack ו-Teams צריכות להיות מוכרות על ידי ארגונים כמשהו שמהווה את אותה רמת איום כמו פישינג במייל", אומר מקס גנון, אנליסט בכיר של מודיעין איומי סייבר ב-Cofense. "כל מערכת שניתן לתמרן כדי לנצל את האמון של המשתמש יכולה לשמש כשיטת כניסה. להתייחס לכל מקור שהוא כלא מאיים או כאל בעל רמת איום זניחה יכול בקלות לחזור ולרדוף את מקבלי ההחלטות".