Itdaily - Aanvallers misbruiken Microsoft Teams om EtherRAT-malware te installeren

Aanvallers misbruiken Microsoft Teams om EtherRAT-malware te installeren

microsoft teams

Cybercriminelen installeren malware door Teams-gebruikers te misleiden en hun systeem over te nemen.

Cybercriminelen misbruiken Microsoft Teams-gesprekken om zich voor te doen als IT-medewerkers en werknemers te overtuigen kwaadaardige software te installeren. De aanval leidt uiteindelijk tot de installatie van EtherRAT, een geavanceerde remote access trojan waarmee aanvallers volledige controle over een systeem kunnen krijgen.

Volgens onderzoekers van Palo Alto Networks begint de aanval met een phishingmail die zogezegd een werknemersenquête bevat. In de e-mail zit een kwaadaardige pdf-bijlage. Als het slachtoffer die opent, krijgt hij of zij een Teams-oproep van iemand die zich voordoet als een systeembeheerder of helpdeskmedewerker.

Legitieme tools misbruikt

Tijdens het gesprek overtuigen de aanvallers het slachtoffer om schermdeling via Microsoft Teams toe te staan. Daarna laten ze de gebruiker legitieme programma’s voor externe ondersteuning installeren, zoals HopToDesk of AnyDesk.

Als de externe toegang actief is, downloaden de aanvallers een kwaadaardig MSI-bestand dat een Node.js-runtime installeert en vervolgens EtherRAT activeert. Die malware biedt uitgebreide mogelijkheden, waaronder het uitvoeren van opdrachten, het stelen van bestanden, het aanpassen van gegevens en het permanent behouden van toegang tot het toestel.

Microsoft scherpt Teams-beveiliging verder aan

Het misbruik van Microsoft Teams door cybercriminelen neemt de laatste maanden toe. Eerder dit jaar werden al gelijkaardige campagnes ontdekt waarbij aanvallers zich via Teams voordeden als interne IT-medewerkers om slachtoffers Quick Assist-sessies te laten starten. Via die weg installeerden ze vervolgens malware of verkenden ze bedrijfsnetwerken.

Microsoft heeft daarom verschillende extra beveiligingsmaatregelen toegevoegd aan Teams. Zo krijgen gebruikers waarschuwingen wanneer ze worden gecontacteerd door externe accounts en kunnen beheerders verdachte externe bots automatisch in de lobby van een vergadering plaatsen totdat een organisator de toegang expliciet goedkeurt.