Hacker đột nhập vào các cuộc trò chuyện trên Microsoft Teams để phát tán phần mềm độc hại

Các nhà nghiên cứu bảo mật quốc tế vừa lên tiếng cảnh báo về một hình thức tấn công tương đối mới mẻ liên quan đến nền tảng ứng dụng truyền thông doanh nghiệp Microsoft Teams. Trong đó, tin tặc sẽ cố gắng xâm nhập vào tài khoản Microsoft Teams của mục tiêu, sau đó truy cập các cuộc trò chuyện và phát tán tệp thực thi độc hại nhắm tới những người tham gia trong cuộc trò chuyện đó.

Hơn 270 triệu người đang tương tác trên Microsoft Teams mỗi tháng, đến từ hàng triệu tổ chức, doanh nghiệp trên toàn thế giới. Đa số họ đều hoàn toàn tin tưởng vào ứng dụng này, nhưng trên thực tế Microsoft Teams hiện không hệ có biện pháp hữu hiệu để chống lại các tệp độc hại phát tán trên nền tảng.

Hình thức phát tán mã độc đơn giản nhưng hiệu quả

Các nhà nghiên cứu tại Avanan, một công ty bảo mật chủ yếu nhắm tới các nền tảng cộng tác và email đám mây, là đơn vị đầu tiên phát hiện ra hình thức phát tán mã độc nhằm vào người dùng Microsoft Teams này.

Các cuộc tấn công dường như bắt đầu vào tháng Giêng. Trong đó, tin tặc chèn vào cuộc trò chuyện mà chúng đột nhập thành công một tệp thực thi có tên “User Centric” để thuyết phục và đánh lừa các thành viên khác khởi chạy nó.

Sau khi tiệp được thực thi, phần mềm độc hại sẽ ghi dữ liệu vào system registry, sau đó cài đặt các tệp DLL và thiết lập tính ổn định của mình trên máy tính Windows bị lây nhiễm.

Hiện phương pháp được hacker sử dụng để có quyền truy cập vào tài khoản Teams của nạn nhân vẫn chưa rõ ràng. Nhưng một số khả năng có thể nhắc tới bao gồm ăn cắp thông tin đăng nhập email hoặc Microsoft 365 thông qua lừa đảo, hoặc xâm phạm tổ chức đối tác.

Quá trình phân tích phần mềm độc hại được phân phối theo cách này cho thấy rằng trojan có thể thiết lập sự bền bỉ trên hệ thống mục tiêu thông qua các key Windows Registry Run, hoặc bằng cách tạo một mục nhập trong thư mục khởi động.

Đồng thời, mã độc cũng thu thập thông tin chi tiết về hệ điều hành và phần cứng mà nó chạy, cùng với trạng thái bảo mật của máy dựa trên phiên bản hệ điều hành và các bản vá được cài đặt.

Mặc dù quy trình tấn công nhìn chung khá đơn giản, nhưng hiệu quả thực tế lại cao vì tâm lý chung của nhiều người dùng Microsoft Teams hiện nay là tin tưởng hoàn toàn các tệp mà đồng nghiệp của mình chia sẻ, các nhà nghiên cứu của Avanan cho biết.

Công ty đã phân tích dữ liệu từ một số bệnh viện sử dụng Teams, và nhận thấy rằng các bác sĩ thường sử dụng nền tảng này để chia sẻ thông tin y tế một cách không hạn chế. Ngoài ra, việc mạo danh trên Microsoft Teams cũng là một vấn đề lớn.

Các nhà nghiên cứu cho biết vấn đề trở nên trầm trọng hơn do “thực tế là Microsoft Teams đang thiếu các biện pháp bảo vệ mặc định, vì việc quét các liên kết và tệp độc hại bị hạn chế” và “nhiều giải pháp bảo mật email không cung cấp khả năng bảo vệ mạnh mẽ cho Teams”.

Để “phòng thủ” trước những cuộc tấn công như vậy, Avanan khuyến nghị những điều sau:

• Triển khai các biện pháp quét file tải xuống để phát hiện sớm nội dung độc hại
• Triển khai bảo mật toàn diện, mạnh mẽ cho hệ thống.
• Khuyến khích người dùng cuối liên hệ với bộ phận IT khi thấy có tệp đáng ngờ được phát tán trên hệ thống