Microsoft Teams sotto attacco: vishing e strumenti remoti nel mirino

Attacchi sofisticati colpiscono Microsoft Teams: scopri le tecniche di vishing e come proteggere i tuoi dati aziendali con strategie efficaci.
Microsoft Teams sotto attacco: vishing e strumenti remoti nel mirino
Attacchi sofisticati colpiscono Microsoft Teams: scopri le tecniche di vishing e come proteggere i tuoi dati aziendali con strategie efficaci.

La sicurezza dei dati aziendali è sempre più a rischio con l’uso crescente di strumenti come Microsoft Teams. Nuove minacce combinano tecniche di ingegneria sociale, vishing e accesso remoto, costringendo le aziende a rafforzare le proprie difese contro attacchi sofisticati.

Microsoft ha introdotto notifiche di sicurezza per Quick Assist, mirate a proteggere gli utenti da truffe legate al supporto tecnico. Gli esperti consigliano di limitare o disabilitare l’uso di strumenti di accesso remoto non essenziali per prevenire compromissioni dei sistemi aziendali.

Attacco avanzato sfrutta Teams e PowerShell

Un rapporto del Cyber Defence Centre di Ontinue ha rivelato un attacco che utilizza ingegneria sociale e strumenti legittimi. Gli aggressori, fingendosi tecnici IT, hanno inviato su Microsoft Teams un comando PowerShell dannoso, convincendo le vittime a eseguirlo e a concedere accesso remoto tramite Quick Assist. Successivamente, hanno sfruttato il sideloading DLL per eseguire codice malevolo tramite un file binario firmato, utilizzando TeamViewer.exe per caricare un modulo dannoso.

Installazione di backdoor e connessioni remote

La seconda fase dell’attacco ha comportato l’installazione di una backdoor basata su JavaScript tramite Node.js, consentendo connessioni persistenti ai server di comando e controllo. Gli aggressori hanno così ottenuto la capacità di eseguire comandi da remoto senza essere facilmente individuati.

Misure di prevenzione e rilevamento

Questa catena di attacco rientra in diverse categorie del framework MITRE ATT&CK, tra cui:

  • T1105 – Trasferimento di strumenti malevoli
  • T1656 – Impersonificazione
  • T1219 – Utilizzo di software di accesso remoto
  • T1218 – Esecuzione tramite binari firmati
  • T1197 – Abuso dei lavori BITS

Per mitigare questi rischi, le aziende dovrebbero limitare l’uso di strumenti di accesso remoto e disabilitare connessioni esterne a Microsoft Teams. È cruciale anche formare i dipendenti su tecniche di ingegneria sociale e vishing, riducendo la probabilità di cadere vittima di attacchi. La sicurezza informatica richiede vigilanza e proattività per affrontare minacce in continua evoluzione.

Ti consigliamo anche

Link copiato negli appunti