Microsoft Teams ingezet voor phishingaanvallen met SNOWBELT-malware

In dit artikel:

Aanvallers voeren volgens Google een meerdelige campagne uit om toegang tot systemen te verkrijgen. Ze beginnen met massale e-mails om een doelwit te overspoelen en sturen daarna via Microsoft Teams een phishinglink waarin zij zich voordoen als helpdesk. Die site beweert een probleem met de mailbox te kunnen oplossen met een zogenoemde "Mailbox Repair and Sync Utility" en verzoekt om e-mailadres en wachtwoord; de ingevulde gegevens worden naar een Amazon S3-bucket gestuurd en er worden aanvullende bestanden gedownload, waaronder een kwaadaardige browserextensie met de naam SNOWBELT.

De SNOWBELT-extensie fungeert als backdoor: aanvallers kunnen hiermee screenshots maken, bestanden downloaden of verwijderen, opdrachten op het systeem uitvoeren en toegang behouden, ook na het herstarten van de browser. In combinatie met andere malware kan dit volledige controle over een slachtoffermachine opleveren.

Microsoft had al gewaarschuwd dat criminelen steeds vaker Microsoft Teams gebruiken voor dit type helpdesk-imitatieaanvallen, waarbij zij zich als IT- of servicemedewerkers voordoen om gebruikers te misleiden.

Gebruikers en organisaties kunnen zich hiertegen wapen door hulpverzoeken strikt te verifiëren (bij voorkeur via een bekend telefoonnummer of intern ticketingsysteem), geen inloggegevens in te vullen via links in chats of e-mails, geen onbekende browserextensies te installeren en multi-factorauthenticatie en up-to-date endpointbescherming in te schakelen. Security awareness-training voor medewerkers verkleint eveneens het risico.