Microsoft Teams ingezet voor phishingaanvallen met SNOWBELT-malware

[Captain Kirk]

Aanvallers maken gebruik van social engineering, phishing via Microsoft Teams en malafide browser-extensies om toegang tot systemen te krijgen, zo waarschuwt Google. De aanval begint volgens Google met een e-mailcampagne om het doelwit met berichten te overladen.

Hierna wordt via Microsoft Teams een phishinglink verstuurd, waarbij de aanvaller zich voordoet als helpdeskmedewerker. De website laat het slachtoffer geloven dat er een probleem met zijn mailbox is dat met een "Mailbox Repair and Sync Utility" kan worden verholpen.

De website vraagt de gebruiker om zijn e-mailadres en wachtwoord. De ingevulde gegevens worden vervolgens naar een Amazon S3-bucket gestuurd. Tevens worden er verschillende bestanden gedownload, waaronder een malafide browser-extensie genaamd SNOWBELT.

Deze extensie fungeert als backdoor en kan in combinatie met andere malware de aanvallers controle over het systeem geven. Zo kunnen screenshots worden gemaakt, bestanden worden gedownload en verwijderd en commando's op het systeem worden uitgevoerd. De extensie kan ook worden gebruikt om toegang tot het systeem te behouden, ook als de browser wordt herstart.

Microsoft waarschuwde onlangs dat aanvallers steeds vaker gebruikmaken van Microsoft Teams voor het uitvoeren van helpdesk-imitatieaanvallen. De aanvallers doen zich voor als IT-personeel of helpdeskmedewerker en proberen op deze manier om toegang tot een systeem te verkrijgen.

 

bron: https://www.security.nl