Microsoft е изпратила предупреждение за киберсигурност относно заплаха, която използва чатовете на Microsoft Teams за разпространение на зловреден софтуер. Извършителят зад заплахата е обозначен като Storm-0324 и според Microsoft тази група е активна от 2016 г. насам.
В публикация в блога си Microsoft заявява, че през юли 2023 г. "Storm-0324 е наблюдавана да разпространява полезен товар, използвайки инструмент с отворен код за изпращане на фишинг примамки чрез чатове на Microsoft Teams". В блога се добавя, че групата разпространява предимно зловредния софтуер JSSLoader от 2019 г. насам. След това този зловреден софтуер може да бъде използван от друга група участници в заплахи, известна като Sangria Tempest, за поставяне на файлове с откуп на компютър.
Microsoft добавя, че тези имейли могат да изглеждат като истински документи от компании като DocuSign, Quickbooks и други. В някои случаи тези файлове изискват и въвеждане на код за сигурност или парола от жертвата на зловредния софтуер. Това може да направи тези фалшиви документи да изглеждат по-реалистични.
Компанията казва, че е предприела няколко мерки, за да предотврати разпространението на този вид зловреден софтуер в чатовете на Teams. Това включва спиране на акаунти, за които е потвърдено, че са участвали в измамна дейност.
Също така е добавила подобрения в работата с Accept/Block в чатовете на Teams един на един. Компанията е въвела и нови ограничения за "създаването на домейни в рамките на наемателите и подобрени известия за администраторите на наематели, когато се създават нови домейни в рамките на техния наемател".
Microsoft изброява и редица начини, по които компаниите, които използват Team чатове, могат да вземат превантивни мерки, за да не бъдат засегнати от тази нова фишинг атака. Те включват разрешаване на свързване с Teams само на познати устройства, а също и обучение на служителите относно начините на извършване на фишинг и злонамерени атаки и преглед на подозрителни дейности за влизане в системата.
Снимка: Unsplash