Microsoft allerta di una nuova campagna di phishing che prevede l’utilizzo dei messaggi di Teams come esche per infiltrarsi nelle reti aziendali.
“A partire da luglio 2023, il distributore di malware Storm-0324 è stato osservato vendere esche di phishing utilizzabili attraverso le chat di Microsoft Teams“.
Chi è Storm-0324
Storm-0324 opera nell’economia criminale informatica come distributore di payload, offrendo quindi un servizio che consente la propagazione di vari payload.
Ciò include un mix tra downloader, trojan bancari, ransomware e toolkit modulari come Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab e JSSLoader.
In passato Storm-0324 ha utilizzato messaggi e-mail di phishing a tema fatture & pagamenti per indurre gli utenti a scaricare file ZIP ospitati su SharePoint che distribuiscono JSSLoader, un caricatore di malware in grado di profilare i dispositivi infetti e caricare payload aggiuntivi.
L’accesso consentito dal malware apre la strada al ransomware-as-a-service (RaaS) Sangria Tempest per condurre azioni post-sfruttamento e distribuire malware per la crittografia dei file.
Da luglio phishing attivo su Teams
Da luglio 2023 le esche di phishing vengono inviate su Teams con collegamenti dannosi che portano a un file ZIP dannoso ospitato su SharePoint.
Microsoft ha affermato di aver apportato diversi miglioramenti alla sicurezza per bloccare la minaccia e di aver “sospeso account identificati associati a comportamenti non autentici o fraudolenti“.
Modelli di Ransomware as a Service
Questo modello di business illecito “as a Service” offre servizi di diffusione malware ad altri criminali informatici: questi ultimi li utilizzano poi per attaccare numerose aziende in tutto il mondo e generare profitti illeciti, sfruttando uno strumento di collaboration tra i più diffusi nelle aziende, Teams.
Concentrarsi su specifici ceppi di ransomware può creare confusione nella migliore delle ipotesi e inutile nella peggiore, la maggior parte degli incidenti ransomware non sono dovuti a tecniche di attacco sofisticate: gli accessi iniziali alle vittime vengono ottenuti opportunisticamente, e il successo è solitamente il risultato di una scarsa igiene informatica.
Difendi il perimetro informatico della tua azienda, contatta Noi Sicurezza per una consulenza di cyber security e per maggiori informazioni su corsi di formazione antiphishing: