A legújabb csapda: segítségkérésnek álcázott támadás a Microsoft Teamsben

Érdekes felvetés, hogy a hackerek egyre kifinomultabban használják a Microsoft Teams rendszert, hogy bejussanak vállalati rendszerekbe. Mostanában IT-snek vagy helpdesk-munkatársnak adják ki magukat, és a Teamsen keresztül veszik fel a kapcsolatot a dolgozókkal. Az áldozatokat ráveszik, hogy egy távoli támogatási munkamenetet – leggyakrabban a Quick Assist nevű szoftveren keresztül – indítsanak el, amellyel a támadó teljes hozzáférést szerezhet a számítógéphez.

Cél a teljes vállalati hálózat

Miután megszerezték a hozzáférést a céges géphez, a támadók először feltérképezik a hálózatot, jogosultságokat és lehetőségeket mérnek fel, majd letöltenek egy kisméretű kártékony programcsomagot a ProgramData vagy más írható könyvtárakba. Ehhez jól ismert, megbízható alkalmazásokat (például Autodesk, Adobe Acrobat, Windows Error Reporting) használnak fel, amelyeken keresztül észrevétlenül futtathatják a rosszindulatú kódot.

Profi adatlopás és a lebukás elkerülése

Az adatszivárogtatást különféle trükkökkel végzik: például a rclone segédprogrammal értékes adatokat gyűjtenek össze, majd külső felhőtárhelyre mentik. Egyúttal a támadók szűrőket alkalmaznak, hogy csak a valóban értékes dokumentumokat szivárogtassák ki, így minimalizálva a lebukás esélyét és a forgalom mennyiségét. Mindezt HTTPS-en keresztül bonyolítják le, így a forgalom beleolvad a normál adatáramlásba.

Védekezés: mikor ne bízz egy üzenetben?

A Microsoft kiemeli, hogy minden kívülről érkező Teams-üzenetet gyanúsként kell kezelni. Azt ajánlják, hogy a rendszergazdák korlátozzák vagy szigorúan felügyeljék a távoli támogatást, és a WinRM-et csak ellenőrzött gépeken engedélyezzék. Egyúttal érdemes odafigyelni a Teams beépített figyelmeztetéseire, ha egy gyanús, külső szervezet próbál kapcsolatba lépni, vagy lehetséges adathalásztámadásról érkezik értesítés.

2026, adrienne, www.bleepingcomputer.com alapján