I cybercriminali usano falsi aggiornamenti di Microsoft Teams per indurre gli utenti a scaricare virus: ecco cosa si rischia e come difendersi
Gli hacker approfittano del Covid-19 e del conseguente boom dello smartworking per lanciare campagne e veicolare virus anche tramite le piattaforme di videoconferenza, come Microsoft Teams. La piattaforma di Microsoft, infatti, sembra al centro di una campagna di tipo “FakeUpdates“: gli utenti vengono invitati a scaricare e installare un falso aggiornamento che, in realtà, serve solo a fare entrare un virus nel dispositivo usato.
Nel 2019 sono stati osservati numerosi attacchi FakeUpdates che distribuivano il ransomware DoppelPaymer, quest’anno, invece, si assiste ad una evoluzione tecnica che ha spinto la stessa Microsoft ha diffondere un avviso a molti amministratori di gruppi di lavoro su Teams. Recentemente, ad esempio, sono stati veicolati tramite Teams nuovi virus in grado di sfruttare la famosa vulnerabilità ZeroLogon di Windows. Ma c’è anche di più (e di molto peggio): sono stati individuati degli annunci su Google tramite i quali gli utenti che cercavano l’app di Teams venivano dirottati verso un sito creato ad arte per scaricare una versione fake e infetta della piattaforma di videoconferenze di Microsoft.
Microsoft Teams: i pericoli della versione fake
Quando un utente entra nel sito e fa click per scaricare l’aggiornamento fake di Microsoft Teams viene scaricato, oltre all’app originale di Teams (che viene fatta scaricare solo per non creare sospetti nell’utente), un “Payload“, cioè un primo virus che serve a inviare informazioni agli hacker e a scaricare altri malware dopo essersi intrufolato nel computer della vittima.
In some cases, the payload was Predator the Thief, which sends sensitive information to the attacker such as login credentials, data about the browser used and data about the payment methods registered. Other malware distributed with the same system are Bladabindi (NJRat) backdoor and ZLoader. In the most recent case of infection registered by Microsoft, Cobalt Strike was downloaded, which in theory is not a virus but is used as one.
How Cobalt Strike works and why it is dangerous
Cobalt Strike is a tool that, in theory, should protect us from viruses: it scans the system for security holes that could allow malware to enter the device. If remotely controlled, however, it can be used as a real virus and can send our banking information, passwords and various other sensitive data to a server.
Microsoft has also noticed a few cases where, using the method just described, ransomware has been downloaded that has encrypted the entire storage memory in order to demand a ransom from the user to get access to their data again.
How to defend yourself against hacker attacks on Teams
The description of the method used by hackers to deliver malware via Teams makes it clear that the infection does not start inside Teams, but outside: on a website where the user accidentally ends up when trying to install a genuine copy of Microsoft's app.
The Redmond giant, therefore, recommends using a browser that can filter and block sites distributing malware and dangerous software. It also advises, on Windows computers, to limit the privileges granted to users accessing the PC because if one of these viruses manages to enter during an administrator's session it can do much more damage. Finally, Mirosoft also recommends blocking JavaScript and VBScript code that could command the download of dangerous software from the Internet.