Operadores de ransomware estão usando anúncios falsos maliciosos sobre atualizações do Microsoft Teams para infectar sistemas com backdoors que implantaram Cobalt Strike para comprometer o resto da rede. Segundo o BleepingComputer, os ataques têm como alvo organizações em vários setores, mas os recentes focaram no setor de educação nos Estados Unidos, que depende de soluções de videoconferência devido às restrições da Covid-19.
Em um comunicado de segurança obtido pelo BleepingComputer, a Microsoft está alertando seus clientes sobre essas campanhas chamadas FakeUpdates, oferecendo recomendações para reduzir o impacto do ataque por meio de seu serviço Defender ATP. Os ataques foram de 2019 culminaram no ransomware DoppelPaymer, mas neste ano, as campanhas de malvertising envolvem o WastedLocker e mostram evolução técnica.
Mais recentemente, os invasores exploraram a vulnerabilidade crítica ZeroLogon (CVE-2020-1472) para obter acesso de administrador à rede. Isso ocorreu por meio da estrutura JavaScript SocGholish, encontrada no início deste ano em dezenas de sites de jornais hackeados de propriedade da mesma empresa.
Os anúncios falsos e maliciosos que atraem usuários desavisados a clicarem nele para instalar uma atualização foi possível a partir da alteração em resultados de mecanismos de pesquisa ou através de anúncios online maliciosos. Em pelo menos um ataque detectado pela Microsoft, os criminosos compraram um anúncio de mecanismo de busca que fez com que os principais resultados do Teams apontassem para um domínio sob seu controle.
A Microsoft recomenda o uso de navegadores da web que podem filtrar e bloquear sites maliciosos (scam, phishing, malware e hosts de exploração), juntamente com o uso de senhas fortes e aleatórias para administradores locais. Limitar os privilégios de administrador a usuários essenciais e evitar contas de serviço em todo o domínio que tenham as mesmas permissões de um administrador também estão na lista de medidas que reduziriam o impacto de um ataque.
Para minimizar a superfície de ataque, a Microsoft recomenda o bloqueio de arquivos executáveis que não atendam a critérios específicos ou que estejam fora de uma lista confiável mantida regularmente. Bloquear que o código JavaScript e VBScript baixe conteúdo executável também aumenta as defesas do ambiente.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.