Negli ultimi tempi, i cyberattacchi hanno assunto forme sempre più sofisticate e ingannevoli. Uno dei più recenti casi riguarda l’uso di Bing per distribuire malware attraverso pagine fake di Microsoft Teams. Questo attacco, scoperto da Unit 42, dimostra la capacità degli attaccanti di sfruttare piattaforme legittime per finalità maliziose. In questo articolo, esploreremo i dettagli di questo attacco e forniremo consigli pratici per proteggere i tuoi sistemi da simili minacce.
Il Malware e l’Attacco
Il malware in questione è stato distribuito attraverso Bing, utilizzando annunci pubblicitari maliziosi. Gli utenti, mentre cercavano software legittimo, sono stati indirizzati a pagine fake che imitavano il download di Microsoft Teams. Queste pagine, ospitate su domini come burleson-appliance[.]net, sembravano autentiche, ma in realtà contenevano codice malevolo[3].
Come Funziona l’Attacco
L’attacco inizia con un annuncio pubblicitario su Bing che reindirizza gli utenti a una pagina web apparentemente legittima. La pagina, denominata microsoft-teams-download.burleson-appliance[.]net, richiede al visitatore di scaricare un file JavaScript denominato application_setup.js. Questo file, benché sembri innocuo, serve come downloader per payload aggiuntivi[3].
Payload e Comportamento Malizioso
Il file JavaScript scaricato contiene una stringa di comando che richiama un server di comando e controllo (C2) situato a 5.252.153[.]241. Una volta eseguito, il script connette al server C2 e scarica payload aggiuntivi, come script PowerShell, DLL e file eseguibili. Tra questi, sono stati identificati TeamViewer.exe e pas.ps1, utilizzati per stabilire persistenza sul sistema compromesso e eseguire azioni maliziose ulteriori[3].
Persistenza e Esecuzione Maliziosa
Per garantire la persistenza, il malware crea un collegamento a TeamViewer.exe nella directory di avvio del sistema. Ad esempio, un collegamento a TeamViewer.exe viene aggiunto nella directory C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TeamViewer.lnk, assicurando che il programma malizioso venga eseguito ogni volta che il sistema viene avviato[3].
Suggerimenti e Consigli per la Protezione
Per evitare di cadere vittima di simili attacchi, è essenziale adottare una serie di misure di sicurezza:
- Verifica delle URL: Prima di scaricare qualsiasi file, verificare sempre l’URL. Assicurati che sia autentico e non una copia falsificata.
- Evitare i Collegamenti in Annunci: Non cliccare su annunci pubblicitari quando cerchi software. Naviga direttamente ai siti ufficiali dei produttori.
- Deploy dei Tool di Sicurezza: Utilizza strumenti di endpoint detection e monitoring per identificare e bloccare comportamenti anomali, come l’esecuzione di script non autorizzati o connessioni non previste.
- Configurazioni di Sicurezza di Microsoft Teams: Disabilitare l’accesso esterno in Microsoft Teams se non è assolutamente necessario per le attività quotidiane. Questo può ridurre il rischio di attacchi provenienti da esterni[5].
L’uso di Bing per distribuire malware attraverso pagine fake di Microsoft Teams rappresenta un esempio chiaro della capacità degli attaccanti di sfruttare piattaforme legittime per finalità maliziose. Per proteggersi da simili minacce, è essenziale adottare una serie di misure di sicurezza, tra cui la verifica delle URL, l’evitamento dei collegamenti in annunci pubblicitari e l’utilizzo di strumenti di sicurezza avanzati. Inoltre, configurare le impostazioni di sicurezza di Microsoft Teams in modo da ridurre al minimo il rischio di attacchi provenienti da esterni.
Fonte: https://cybersecuritynews.com/fake-microsoft-teams-page-drops-malware-on-windows
