Команда вирусов-вымогателей выдает себя за ИТ-поддержку Microsoft Teams, чтобы украсть логины и пароли
Команда вирусов-вымогателей выдает себя за ИТ-поддержку Microsoft Teams, чтобы украсть логины и пароли. Фото: СС0
Самая последняя технология отличается высокой точностью и заключается в использовании социальной инженерии для «целевого спама» почтового ящика сотрудника огромным количеством ненужных сообщений до такой степени, что почтовый ящик становится просто непригодным для использования.
Затем злоумышленники звонили сотруднику и выдавали себя за сотрудников службы ИТ-поддержки организации, предлагая помощь в борьбе со спамом.
«Помогая» сотруднику, злоумышленники получают контроль над устройством жертвы, установив программное обеспечение удаленного рабочего стола AnyDesk или запустив инструмент Windows Quick Assist, а затем развернув полезные нагрузки, которые заражают устройство с помощью ScreenConnect, NetSupport Manager и Cobalt Strike. С помощью этих полезных нагрузок злоумышленники осуществляютсвою типичную атаку с использованием программ-вымогателей.
В последнее время Black Basta связывается с сотрудником через Microsoft Teams, используя внешнюю учетную запись, настроенную для имитации службы ИТ-поддержки организации с использованием арендаторов Entra ID, которые, на первый взгляд, кажутся законными. Однако при дальнейшем рассмотрении они явно поддельные.
В Black Basta использовали клиентов, к имени которых добавлялось «*.onmicrosoft.com», например «securityadminhelper.onmicrosoft[.]com» или «Supportserviceadmin.onmicrosoft[.]com».
Атакующие также использовали экранное имя «Help Desk», размещенное в центре чата с использованием пробельных символов, и добавляли его в чат «OneOnOne». Затем хакеры продолжали атаку, развертывая полезные нагрузки в файлах с именами «AntispamAccount.exe», «AntispamUpdate.exe» или «AntispamConnectUS.exe».
Специалисты рекомендуют системным администраторам и специалистам по безопасности устанавливать чаты Microsoft Teams из внешних учетных записей только на доверенные домены, а также включить ведение журнала чатов.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было