Güvenlik araştırmacıları, bazı saldırganların sohbetlere sızmak ve sohbete katılanlara kötü amaçlı yürütülebilir dosyalar yaymak için Microsoft Teams hesaplarını tehlikeye attığı konusunda uyarıyor.
Bundan fazla 270 milyon kullanıcı her ay Microsoft Teams’e güveniyor ve birçoğu kötü amaçlı dosyalara karşı koruma olmamasına rağmen platforma dolaylı olarak güveniyor.
Basit ama etkili yöntem
Bulut e-posta ve işbirliği platformlarını güvence altına alan bir Check Point şirketi olan Avanan’daki araştırmacılar, bilgisayar korsanlarının Microsoft Teams iletişim platformundaki konuşmalarda kötü amaçlı yürütülebilir dosyalar bırakmaya başladığını keşfetti.
Şirket bugün yayınladığı bir raporda saldırıların Ocak ayında başladığını ve tehdit aktörünün kullanıcıyı kandırmak için sohbete “Kullanıcı Merkezli” adlı yürütülebilir bir dosya eklediğini söylüyor.
Çalıştırıldıktan sonra, kötü amaçlı yazılım sistem kayıt defterine veri yazar ve DLL’leri kurar ve Windows makinesinde kalıcılık sağlar.
“Bu Teams saldırısında, bilgisayar korsanları bir sohbet dizisine kötü niyetli bir Truva atı belgesi ekledi. Tıklandığında, dosya sonunda kullanıcının bilgisayarını devralacak” – avanan
Teams hesaplarına erişim elde etmek için kullanılan yöntem belirsizliğini koruyor, ancak bazı olasılıklar arasında kimlik avı yoluyla e-posta veya Microsoft 365 için kimlik bilgilerinin çalınması veya bir ortak kuruluştan ödün verilmesi sayılabilir.
Bu şekilde dağıtılan kötü amaçlı yazılımın otomatik analizi, truva atının Windows Kayıt Defteri Çalıştırma anahtarları aracılığıyla veya başlangıç klasöründe bir giriş oluşturarak kalıcılık sağlayabildiğini gösterir.
Ayrıca, işletim sistemi ve üzerinde çalıştığı donanım hakkında ayrıntılı bilgi toplar, ayrıca işletim sistemi sürümüne ve yüklü yamalar temelinde makinenin güvenlik durumu da toplar.
Aşırı güven
Avanan araştırmacıları, saldırının oldukça basit olmasına rağmen, birçok kullanıcının Teams üzerinden alınan dosyalara güvenmesi nedeniyle çok verimli olabileceğini söylüyor.
Şirket, Teams kullanan hastanelerden gelen verileri analiz etti ve doktorların tıbbi bilgileri sınırsız olarak paylaşmak için platformu kullandığını tespit etti.
Kişiler, e-posta kimlik avı farkındalık eğitimi nedeniyle genellikle e-posta yoluyla alınan bilgilerden şüphelenirken, Ekipler üzerinden alınan dosyalara karşı hiçbir önlem göstermezler.
Ayrıca Teams, şirket dışındaki kişilerle işbirliğine olanak tanıyan konuk ve harici erişim yetenekleri sağlar. Avanan, bu davetlerin genellikle asgari düzeyde gözetimle karşılandığını söylüyor.
“Teams platformuna aşina olmadığımız için, çoğu kişi isteklere güvenip onaylayacak. Bir kuruluşta, bir kullanıcı, ister CEO, ister CFO, isterse BT yardım masası olsun, çok kolay bir şekilde başka biri gibi davranabilir” – avanan
Araştırmacılar, “kötü amaçlı bağlantılar ve dosyalar için tarama sınırlı olduğu için varsayılan Teams korumalarının eksik olması” ve “birçok e-posta güvenlik çözümünün Teams için sağlam koruma sağlamaması” nedeniyle sorunun ağırlaştığını söylüyorlar.
Bu tür saldırılara karşı savunmak için Avanan şunları tavsiye ediyor:
• Bir sanal alandaki tüm dosyaları indiren ve onları kötü amaçlı içerik açısından inceleyen koruma uygulayın
• Ekipler de dahil olmak üzere tüm iş iletişim hatlarını güvence altına alan sağlam, tam paket güvenlik dağıtın
• Son kullanıcıları, tanıdık olmayan bir dosya gördüklerinde BT’ye ulaşmaya teşvik edin