Lažni IT-jevci preko Microsoft Teams-a šire EtherRAT malver
Napadači zloupotrebljavaju Microsoft Teams pozive predstavljajući se kao IT podrška
Šta se desilo?
Napadači zloupotrebljavaju Microsoft Teams za organizovanje prevara u kojima se predstavljaju kao zaposleni IT odelenja. Putem lažnih poziva ubjeđuju zaposlene da instaliraju legitimne alate za udaljen pristup, a zatim prosljeđuju EtherRAT - zlonamerni kod koji im omogućava potpunu kontrolu nad računarima žrtava. Kampanja, koju je istražila Palo Alto Networks, počinje sa phishing emailom koji sadrži lažnu anketu o zaposlenim i zlonamerni PDF dokument.
Koga pogađa?
Kampanja se pre svega ciljnih zaposlenih u korporativnom okruženju. Napadači su usavršili metodu komunikacije preko Microsoft Teams kako bi izgledali što verodostojnije, što čini sve kompanije koje koriste ovu platformu potencijalno ugroženim. Posebno su izložene organizacije sa manjim nivoima sigurnosti i edukacije zaposlenih.
Kako se zaštititi?
- Ne otvarajte PDF priloge iz nepoznatih pošiljaoca, posebno ako se nude ankete ili istraživanja
- Proverite identitet osobe koja vas zove preko Teams-a - IT odelenja obično pozivaju sa internih, poznatih računa
- Nikad nemojte dozvoliti udaljen pristup računaru nakon poziva od nepoznate osobe, čak i ako se predstavlja kao IT zaposleni
- Kontaktirajte IT odelenje preko zvanične linije kako biste potvrdili da li je poziv legitimno
- Instalirajte samo sofver iz zvanične web stranice proizvođača
- Aktivirajte napredne sigurnosne opcije u Microsoft Teams-u
Tehnički detalji
Napadači koriste malware loader upakovane kao MSI instalator (v7.msi) koji se preuzima sa domena camorreado.click. Loader preuzima legitimno Node.js okruženje, dekriptuje ugrađene zlonamerne payload-e i pokreće EtherRAT. EtherRAT je čvorni remote access trojan napisan na Node.js-u koji omogućava napadačima izvršavanje komandi, manipulaciju datotekama, krađu podataka i održavanje perzistencije. Malver koristi Ethereum pametne ugovore za pronalaženje svog aktivnog C2 servera, što otežava rušenje mreže. Istraživači su pronašli otvoreni direktorijum sa različitim verzijama instalacija (od v1 do v9), što ukazuje na aktivan razvoj.
Zašto je važno za region
Microsoft Teams je postao standardna platforma za komunikaciju u većini korporacija i javnih institucija širom regije Zapadnog Balkana. Ova vrsta napada koristi legitimne kanale komunikacije što čini tradicionalnu zaštitu manje efikasnom. Zaposleni u predsedničkim kabinetima, bankama, zdravstvenim institucijama i drugim kritičnim organizacijama u Srbiji, Hrvatskoj, BiH i ostalim zemljama trebalo bi da budu posebno oprezni prema sličnim pozivima.
Preporuka Sajber Radara
Preporučujemo svim organizacijama da odmah edukuju zaposlene o ovoj vrsti napada i postave stroge procedure za rukovanje zahtevima za udaljen pristup. IT odelenja trebalo bi da konfigurira Microsoft Teams kako bi prikazao vidljiva upozorenja za eksterne pozivače i da implementira politike koje zahtevaju dodatnu verifikaciju za eksterne konekcije.