Võltsitud IT-toe kõned Microsoft Teamsis meelitavad töötajaid pahavara paigaldama

Palo Alto Networksi Unit 42 uurijad on tuvastanud küberkurjategijate kampaania, kus võltsitud IT-toe kõned Microsoft Teamsis veenavad töötajaid loovutama oma arvuti kontrolli ja paigaldama EtherRAT-i kaugjuurdepääsu troojalast. Rünnak algab õngitsuskirjaga, mis on maskeeritud töötajate küsitluseks, millele järgneb Teamsi kõne väidetavalt IT-toe töötajalt. Kõne ajal veenab ründaja ohvrit andma kaugjuurdepääsu ja paigaldama seaduslikke haldustööriistu nagu HopToDesk või AnyDesk, misjärel laaditakse alla MSI-pakett, mis paigaldab EtherRAT-i.

EtherRAT on Node.js-il põhinev pahavara, mis töötab Windowsi, Linuxi ja macOS-i peal ning võimaldab ründajatel käske käivitada, andmeid varastada ja juurdepääsu säilitada. Erilise omadusena hangib pahavara juhtimisserveri aadressi Ethereumi nutilepingust, hoides varuks tavapärast domeeni. Teams loob kaugjuhtimise seansside ajal failid nimega “CtrlVirtualCursorWin_*”, mis on kasulik kohtuekspertiisi jälg.

Uurijad leidsid ka avatud kataloogi EtherRAT-i versioonidega 1–9, mille viimased uuendused pärinevad 26. juunist, mis viitab pahavara jätkuvale arendusele. Kampaania on järjekordne näide Microsofti koostööplatvormi kuritarvitamisest ründajate poolt.

Loe täispikka artiklit: The Register

Lisa kommentaar