Jump to content
  • Anúncios falsos envolvendo Microsoft Teams infectam sistemas


    Bruna Chieco

    Operadores de ransomware estão usando anúncios falsos maliciosos sobre atualizações do Microsoft Teams para infectar sistemas com backdoors que implantaram Cobalt Strike para comprometer o resto da rede. Segundo o BleepingComputer, os ataques têm como alvo organizações em vários setores, mas os recentes focaram no setor de educação nos Estados Unidos, que depende de soluções de videoconferência devido às restrições da Covid-19.

    Em um comunicado de segurança obtido pelo BleepingComputer, a Microsoft está alertando seus clientes sobre essas campanhas chamadas FakeUpdates, oferecendo recomendações para reduzir o impacto do ataque por meio de seu serviço Defender ATP. Os ataques foram de 2019 culminaram no ransomware DoppelPaymer, mas neste ano, as campanhas de malvertising envolvem o WastedLocker e mostram evolução técnica.

    Mais recentemente, os invasores exploraram a vulnerabilidade crítica ZeroLogon (CVE-2020-1472) para obter acesso de administrador à rede. Isso ocorreu por meio da estrutura JavaScript SocGholish, encontrada no início deste ano em dezenas de sites de jornais hackeados de propriedade da mesma empresa.

    Os anúncios falsos e maliciosos que atraem usuários desavisados a clicarem nele para instalar uma atualização foi possível a partir da alteração em resultados de mecanismos de pesquisa ou através de anúncios online maliciosos. Em pelo menos um ataque detectado pela Microsoft, os criminosos compraram um anúncio de mecanismo de busca que fez com que os principais resultados do Teams apontassem para um domínio sob seu controle.

    A Microsoft recomenda o uso de navegadores da web que podem filtrar e bloquear sites maliciosos (scam, phishing, malware e hosts de exploração), juntamente com o uso de senhas fortes e aleatórias para administradores locais. Limitar os privilégios de administrador a usuários essenciais e evitar contas de serviço em todo o domínio que tenham as mesmas permissões de um administrador também estão na lista de medidas que reduziriam o impacto de um ataque.

    Para minimizar a superfície de ataque, a Microsoft recomenda o bloqueio de arquivos executáveis que não atendam a critérios específicos ou que estejam fora de uma lista confiável mantida regularmente. Bloquear que o código JavaScript e VBScript baixe conteúdo executável também aumenta as defesas do ambiente.
     


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...