Microsoft Teams sfruttato per diffondere malware nelle chat. In particolare, trojan: eseguibili malevoli usati per infettare i partecipanti alle conversazioni sulla piattaforma di videoconferenza con 270 milioni di utenti iscritti.
I primi attacchi di questo tipo agli utenti Teams sono stati registrati a gennaio, come hanno scoperto i ricercatori di Avanan di Check Point.
Gli attaccanti hanno innanzitutto denominato come “User Centric” un file eseguibile con funzionalità di trojan, allo scopo di ingannare gli utenti e indurli a installarlo tramite le classiche tecniche di social engineering nelle chat.
Secondo Check Point, lo scopo è sempre quello di compromettere un’organizzazione attraverso il furto d’identità e per farlo si sfruttano le mode del momento, siano esse argomenti o temi caldi, quali la Covid-19, oppure servizi come, ad esempio, l’e-mail. Una volta rubata l’identità, il threat actor cerca di elevare i propri privilegi in modo da potere utilizzare vari sistemi per distribuire il trojan quali FRS, Teams e via dicendo ponendo, così, le basi per la permanenza all’interno dell’organizzazione.
Indice degli argomenti
Come funzionano i trojan su chat Microsoft Teams
Dall’analisi di ChechPoint del malware, risulta che il trojan può mantenersi nel sistema target attraverso le chiavi di Windows Registry Run o creando una entry nel folder Startup.
In questo modo, raccoglie informazioni sullo stato della macchina compromessa quali: caratteristiche hardware, versione del sistema operativo, patch installate e mancanti e via dicendo.
Il problema del social engineering
“È necessario distinguere tra vettore di attacco e strumento”, mette in guardia Pierguido Iezzi, esperto di cyber security e CEO di Swascan, “Il vettore è la tecnica usata e in questo caso, di fatto, siamo di fronte all’ennesimo caso di social engineering: la tecnica che è – e sarà sempre – l’evergreen del cyber crime. Anche lo strumento usato rientra nella ‘prassi’ dei criminal hacker”. “In questo caso” lo strumento “è un trojan”, commenta Pierguido Iezzi, “ma con particolari caratteristiche”.
In altre parole, il successo dell’attacco non dipende in sé dalle caratteristiche Teams; quel trojan potrebbe essere diffuso indifferentemente su qualsiasi altra piattaforma di comunicazione, chat, mail.
Se il trojan viene installato sui computer degli utenti significa che è mancata una protezione adeguata del computer e degli account.
Come proteggersi: prevenzione, awareness, detection e reaction
E, come spesso capita, c’è stata poca attenzione da parte dell’utente finale.
Nel caso di utenze business, inoltre, per difendere l’azienda da questi attacchi basati su social engineering, bisogna fare prevenzione, sensibilizzare i propri collaboratori sul rischio cyber e adottare un modello di security by detection e reaction.
“Analizzando le minacce con un approccio strutturato per tecnica e strumenti”, spiega Iezzi, “diventa semplice definire le misure di tutela e sicurezza, anche per casi come questo. Da un lato la necessità di operare in termini di sicurezza preventiva operando a livello di sensibilizzazione e awareness dei dipendenti per evitare di essere ingannati, dall’altro agire in termini di sicurezza proattiva dotandosi di capacità di detection e reaction allo scopo di identificare e bloccare gli elementi malevoli (in questo caso il trojan)”.
Security by detection e by reaction
Il punto è minimizzare il rischio umano. Conclude Iezzi: “Premetto in anticipo che le attività di formazione sono indispensabili per ridurre lo Human Risk, ma non possiamo permetterci di essere troppo idealisti. L’essere umano è fallibile; è sufficiente che un solo dipendente venga ingannato per compromettere potenzialmente l’intera rete aziendale.
Per questo è necessario affiancare al training la capacità di detection e reaction. Stiamo parliamo di Security Operation Center (SOC) e/o di strumenti di EDR o XDR, necessari per diminuire anche il rischio umano.
Da anni parliamo di security by design e security by default, ma l’interconnessione dei sistemi e la digitalizzazione della nostra quotidianità hanno dimostrato che questo paradigma non è più sufficiente. Il mondo della cyber security si sta sempre più spostando sulla security by detection e security by reaction”.
