Il phishing tramite email è una tecnica molto utilizzata per la distribuzione dei malware. I cybercriminali possono sfruttare anche una funzionalità di Microsoft Teams, come hanno scoperto i ricercatori del team Cybersecurity di AT&T. Attraverso inviti di partecipazione ad una chat di gruppo è stato installato il loader DarkGate.
Bloccare l’accesso dall’esterno
La catena di infezione inizia con un messaggio che invita l’utente aziendale a partecipare ad una chat di gruppo. L’indirizzo email usato per l’invito sembra autentico, quindi non desta sospetti anche se il mittente è esterno all’organizzazione.
Se viene accettata la richiesta, il cybercriminale convince l’ignara vittima a scaricare un file con doppia estensione (.pdf e .msi). Windows nasconde la seconda estensione (.msi), quindi il file sembra un innocuo documento PDF. In realtà, dopo aver eseguito il file con un doppio clic, viene installato il loader DarkGate che subito effettua il collegamento con il server C2 (command and control).
Il malware offre diverse funzionalità ai cybercriminali. Consente di effettuare l’accesso remoto, aggirare le protezioni di sicurezza (Windows Defender in particolare), rubare dati dal browser e impostare un reverse proxy.
In base all’analisi dei ricercatori, gli inviti sono stati inviati ad oltre 1.000 utenti per cercare quelli che possono riceverli dall’esterno. A meno che non sia strettamente necessario per il lavoro quotidiano, gli amministratori IT dovrebbero disattivare questa funzionalità che rappresentata un serio pericolo per la sicurezza.