I criminali informatici si fingono Microsoft Teams per campagne di phishing: come proteggersi

I criminali informatici si fingono Microsoft Teams per campagne di phishing: come proteggersi

I criminali informatici si fingono Microsoft Teams per campagne di phishing: come proteggersi

Introduzione rapida per gli utenti

Microsoft Teams è diventato un bersaglio principale per i criminali informatici che cercano di aggirare i sistemi di sicurezza tradizionali. Invece di inviare email sospette facilmente rilevabili, gli attaccanti creano team falsi con nomi che sembrano avvisi di fatturazione urgenti e inviano inviti tramite l’opzione di invito ospite legittima di Teams.

La soluzione rapida: Non accettare mai inviti a team da mittenti sconosciuti, non fare clic su link in messaggi Teams inaspettati, e non concedere mai accesso remoto al tuo dispositivo a persone che affermano di essere dal supporto tecnico. Se ricevi messaggi sospetti, segnalali immediatamente al tuo reparto IT.

Come funzionano questi attacchi

I criminali informatici hanno scoperto che Microsoft Teams offre un’opportunità d’oro per il phishing perché gli utenti tendono a fidarsi dei messaggi provenienti da questa piattaforma collaborativa. Gli attacchi funzionano in questo modo:

La fase iniziale

L’attaccante crea un nuovo team in Microsoft Teams e gli assegna un nome che assomiglia a un avviso di fatturazione o sottoscrizione urgente. Esempi comuni includono nomi come “Subscription Auto-Pay Notice” o “Billing Alert – Action Required”. Questo primo passo è cruciale perché stabilisce la credibilità dell’attacco.

Dopo aver creato il team, l’attaccante utilizza la funzione “Invite a Guest” (Invita ospite) di Microsoft Teams. Il destinatario riceve quindi un’email di invito che sembra provenire da un indirizzo Microsoft legittimo, con il nome del team malevolo visualizzato in caratteri grandi e prominenti. A prima vista, il messaggio appare come una notifica genuina generata da Microsoft, aumentando la probabilità che gli utenti si fidino del contenuto e seguano le istruzioni.

L’esca

Una volta che l’utente accetta l’invito, viene spesso contattato tramite chat di Teams o riceve ulteriori messaggi che lo incoraggiano a contattare un numero di supporto fraudolento per risolvere il “problema di fatturazione”. In altri casi, l’attaccante potrebbe chiedere direttamente l’accesso remoto al dispositivo dell’utente utilizzando strumenti come Quick Assist, fingendosi un tecnico di supporto IT.

La portata del problema

Questi attacchi non sono isolati. I ricercatori di sicurezza hanno scoperto oltre 12.000 email malintenzionate inviate a più di 6.000 utenti in una singola campagna. Le organizzazioni colpite provengono da vari settori: il 27% opera nel settore manifatturiero, ingegneristico e delle costruzioni, mentre il resto è distribuito tra settori tecnologici, energetici e altri.

Ciò che rende questi attacchi particolarmente pericolosi è che non si basano su link malevoli o allegati che i sistemi di sicurezza tradizionali possono facilmente bloccare. Invece, sfruttano le funzionalità integrate di Teams e la fiducia naturale che gli utenti ripongono nella piattaforma.

Tattiche avanzate degli attaccanti

I criminali informatici non si fermano agli inviti falsi. Nel tempo, hanno sviluppato strategie sempre più sofisticate:

Personificazione di lavoratori IT

Gli attaccanti si fingono tecnici di supporto IT e chiedono ai team IT di reimpostare password o trasferire token di autenticazione a più fattori (MFA). Alcuni hanno addirittura creato identità false e hanno partecipato a teleconferenze aziendali e call di risposta agli incidenti per raccogliere informazioni sulla sicurezza.

Sfruttamento del device code phishing

Una tattica particolare prevede l’uso del phishing del codice dispositivo, in cui gli attaccanti si fingono inviti a riunioni di Teams e avviano chat di Teams per costruire un rapporto. Quando le vittime vengono invitate ad autenticarsi, utilizzano codici dispositivo generati dagli attaccanti, consentendo ai criminali di rubare le sessioni autenticate dai token di accesso validi.

Distribuzione di malware

Attor minacce sofisticati, come Storm-1674, hanno utilizzato strumenti di red teaming come TeamsPhisher per distribuire malware come DarkGate. In alcuni casi, gli attaccanti hanno impersonato clienti durante chiamate di Teams per convincere i bersagli a installare software di accesso remoto come AnyDesk, che viene poi utilizzato per distribuire malware aggiuntivo.

Campagne multi-fase più complesse

I ricercatori di sicurezza hanno anche identificato campagne di phishing adversary-in-the-middle (AitM) più complesse che sfruttano SharePoint e le regole della posta in arrivo. Queste campagne:

  • Iniziano con email di phishing provenienti da organizzazioni fidate compromesse in precedenza
  • Utilizzano URL di SharePoint che richiedono l’autenticazione dell’utente
  • Una volta che l’attaccante ottiene l’accesso, crea regole della posta in arrivo per mantenere la persistenza
  • Successivamente, l’attaccante avvia campagne di phishing su larga scala coinvolgendo più di 600 email inviate ai contatti dell’utente compromesso
  • Gli attaccanti cancellano anche le email non consegnate e i messaggi di fuori ufficio per coprire le loro tracce

Come proteggere la tua organizzazione

Per gli utenti individuali

  1. Sii scettico riguardo agli inviti inaspettati: Se ricevi un invito a un team di Teams che non hai richiesto, soprattutto da mittenti sconosciuti, non accettarlo immediatamente. Verifica con il mittente tramite un canale di comunicazione separato e affidabile.

  2. Non fare clic su link sospetti: Se un messaggio di Teams contiene un link che ti chiede di verificare le informazioni di fatturazione o di accesso, non fare clic. Accedi invece direttamente al servizio utilizzando l’URL ufficiale.

  3. Non concedere accesso remoto: Non concedere mai accesso remoto al tuo dispositivo a persone che affermano di essere dal supporto tecnico, a meno che tu non abbia verificato la loro identità attraverso canali ufficiali.

  4. Segnala i messaggi sospetti: Se ricevi messaggi che sembrano phishing, segnalali immediatamente al tuo reparto IT e al team di sicurezza.

Per i responsabili IT e della sicurezza

  1. Implementa l’autenticazione a più fattori (MFA): Assicurati che tutti gli account, specialmente quelli amministrativi, siano protetti con MFA robusto.

  2. Monitora le attività sospette: Cerca pattern insoliti come la creazione di regole della posta in arrivo da parte di account compromessi o l’accesso da IP geograficamente improbabili.

  3. Educa i dipendenti: Conduci regolari sessioni di formazione sulla consapevolezza della sicurezza, focalizzandoti su come riconoscere i tentativi di phishing su Teams e altre piattaforme di collaborazione.

  4. Rivedi le impostazioni di Teams: Limita la capacità degli utenti di invitare ospiti esterni se non è necessaria per il tuo business.

  5. Implementa il controllo dell’accesso basato su ruoli: Assicurati che solo gli utenti autorizzati possano creare team e invitare ospiti.

  6. Monitora i token di sessione: Se viene compromesso un account, revoca non solo le password ma anche i token di sessione attivi e le regole della posta in arrivo create dagli attaccanti.

Technical Deep Dive

Analisi tecnica dei vettori di attacco

Dal punto di vista tecnico, questi attacchi sfruttano diverse vulnerabilità nel flusso di lavoro di autenticazione e autorizzazione di Teams:

Sfruttamento della funzione guest invitation

La funzione di invito ospite di Teams è progettata per facilitare la collaborazione esterna, ma gli attaccanti l’hanno adattata come vettore di attacco. Quando un utente esterno viene invitato a un team, riceve un’email che contiene il nome del team in testo non crittografato. Questo consente agli attaccanti di controllare completamente il messaggio di invito tramite la selezione del nome del team.

Device code phishing e token stealing

Il device code authentication flow è stato sfruttato per acquisire token di autenticazione. Gli attaccanti generano codici dispositivo falsi e, quando le vittime tentano di autenticarsi, i token validi vengono catturati in tempo reale tramite canali di comunicazione come Telegram. Questo consente agli attaccanti di ottenere accesso persistente fintanto che i token rimangono validi.

Abuso di SharePoint per la distribuzione di payload

Le campagne AitM più sofisticate sfruttano SharePoint come vettore di consegna del payload. Gli URL di SharePoint sono considerati affidabili dai filtri di sicurezza, il che consente ai criminali di aggirare i gateway di sicurezza email (SEG) e i sistemi di protezione dagli URL. Una volta che l’utente fa clic sul link, viene reindirizzato a una pagina di phishing AitM che cattura le credenziali in tempo reale.

Creazione di regole della posta in arrivo per la persistenza

Dopo il compromesso iniziale, gli attaccanti creano regole della posta in arrivo che:

  • Reindirizzano o eliminano le email di notifica di accesso sospetto
  • Eliminano le email di risposta alle sfide di autenticazione
  • Nascondono le email di avviso di sicurezza

Queste regole rimangono attive anche dopo una reimpostazione della password, il che rende la semplice reimpostazione della password insufficiente per la remediation.

Analisi della campagna multi-fase

Le campagne AitM multi-fase osservate dai ricercatori di Microsoft seguono questo pattern tecnico:

  1. Compromesso del fornitore di fiducia: L’attaccante compromette un account email di un’organizzazione esterna di fiducia (spesso tramite phishing precedente).

  2. Consegna del payload: Viene inviata un’email che imita un flusso di lavoro di condivisione file legittimo di SharePoint, con un URL che reindirizza a un server di phishing AitM.

  3. Cattura delle credenziali: La pagina di phishing cattura il nome utente e la password, che vengono inoltrati al server AitM.

  4. Relay in tempo reale: Le credenziali vengono utilizzate in tempo reale per accedere al servizio Microsoft, catturando i token di sessione validi.

  5. Creazione di regole di persistenza: L’attaccante accede alla posta in arrivo e crea regole che nascondono le notifiche di sicurezza.

  6. Ricognizione e targeting: L’attaccante esamina i thread email recenti per identificare i contatti interni ed esterni rilevanti.

  7. Campagna di phishing su larga scala: Viene lanciata una campagna di phishing secondaria verso centinaia di contatti, utilizzando un’altra istanza di phishing AitM.

  8. Espansione della compromissione: Ogni utente che fa clic sul link diventa un nuovo punto di accesso per ulteriori attacchi AitM e BEC.

Indicatori di compromissione (IOC)

I team di sicurezza dovrebbero monitorare:

  • Creazione di nuove regole della posta in arrivo da parte di account che non le hanno mai create prima
  • Accessi da IP geograficamente anomali
  • Attività di creazione di team in Teams da parte di account che non creano normalmente team
  • Pattern di inviti a ospiti massici
  • Eliminazione di email da parte di account durante ore non lavorative

Strategie di remediation avanzate

Per gli account compromessi, le organizzazioni devono:

  1. Reimpostare le password
  2. Revocare tutti i token di sessione attivi tramite Azure AD
  3. Identificare e rimuovere tutte le regole della posta in arrivo create dagli attaccanti
  4. Condurre un audit completo delle attività di inoltro della posta
  5. Esaminare la cronologia di accesso per identificare tutte le sessioni compromesse
  6. Verificare la cronologia di creazione di regole per identificare i pattern di creazione automatica

Questi attacchi rappresentano un’evoluzione significativa nel panorama delle minacce di phishing, poiché sfruttano la fiducia naturale riposta nelle piattaforme di collaborazione aziendali e combinano tecniche di social engineering sofisticate con capacità tecniche avanzate.

Fonte: https://gbhackers.com/teams-phishing-impersonation/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto