Már a munkahelyeket is támadja egy veszélyes Teams-csalás

Gyors átverés, veszélyes eszközök

A támadók ráveszik az alkalmazottakat, hogy a Quick Assist segítségével indítsanak el egy távoli hozzáférési munkamenetet, amely során észrevétlenül telepítik a számítógépre az A0Backdoor nevű kártevőt. Emiatt a gépre olyan, digitálisan aláírt MSI-telepítőfájlok kerülnek, amelyek Microsoft Teamsnek vagy CrossDeviceService-nek álcázott, a Phone Link alkalmazásban is használt Windows-összetevőknek tűnnek.

Kifinomult rejtőzködés

A támadók DLL-sideloading technikát alkalmaznak, hogy legitim Microsoft-fájlokon keresztül egy manipulált hostfxr.dll fájlt juttassanak a rendszerbe. Ez a könyvtár titkosított adatokat tölt be, majd futás közben shellcode-ot hoz létre, és több szál létrehozásával próbálja megakadályozni az elemzést. Bizonyos jelek arra utalnak, hogy a shellcode képes kikerülni a különféle tesztkörnyezeteket, de normál működés közben nem feltűnő.

Kreatív adatlopás

Az A0Backdoor kártevő a gépről különféle rendszerinformációkat szerez meg, például felhasználónevet és számítógépnevet, és titkosított DNS MX-kérések segítségével kommunikál az irányító szerverrel. Ehhez nagy entrópiájú aldomainneveket használ, hogy elrejtse a valódi adatforgalmat, és megkerülje az általában TXT-alapú DNS-adatcsatornák figyelését.

Kockázatos újítások

A BlueVoyant elemzése szerint a célpontok között kanadai pénzintézet és globális egészségügyi szervezet is voltak. Bizonyos jelek arra utalnak, hogy a támadás a Black Basta zsarolóvírus-csapat taktikai fejlődésének eredménye. Újdonságnak számít a digitálisan aláírt MSI-k, a speciális DLL-ek, valamint a DNS MX-alapú vezérlőkommunikáció összehangolt alkalmazása.

2025, adrienne, www.bleepingcomputer.com alapján