Nelle ultime settimane sono stati individuati diversi attacchi phishing contro gli utenti che usano Microsoft Teams. L’azienda di Redmond ha ora scoperto che la tecnica è stata sfruttata dal gruppo Storm-0324 per offrire l’accesso iniziale ad altri cybercriminali.
Collaborazione tra cybercriminali
Storm-0324 è un gruppo che rientra nella categoria degli IAB (Initial Access Broker), ovvero cybercriminali che usano varie tecniche per entrare nelle reti aziendali e che successivamente vendono l’accesso ad altri “colleghi”. In precedenti attacchi è stato utilizzato il phishing per distribuire il malware JSSLoader che scarica il payload finale, ransomware inclusi.
L’attacco più recente è stato individuato da Microsoft nel mese di luglio. Storm-0324 ha usato il tool TeamsPhisher per allegare file ai messaggi inviati agli utenti di Teams dall’esterno dell’organizzazione. Nel documento allegato (ad esempio una ricevuta di pagamento) è presente il link ad un sito SharePoint che ospita un archivio ZIP.
All’interno dell’archivio c’è un file con codice JavaScript che scarica JSSLoader. Quest’ultimo viene successivamente sfruttato da altri cybercriminali per installare i loro tool che permettono di eseguire varie attività nelle rete aziendale. Microsoft ha sospeso gli account associati agli attacchi e aggiunto un avviso che indica che il messaggio arriva da un utente esterno.
L’azienda di Redmond non fornisce ulteriori dettagli, ma solitamente questo genere di attacchi viene finanziato da alcuni paesi per ottenere informazioni riservate dai nemici (governi, agenzie governative e aziende che operano in settori strategici).