Laut einer Studie von AT&T Cybersecurity missbrauchen Angreifer Microsoft Teams, um Phishing-Nachrichten zu versenden.
„Die meisten Endnutzer kennen die Gefahren herkömmlicher Phishing-Angriffe, die beispielsweise per E-Mail oder über andere Medien verschickt werden. Ein Großteil ist sich jedoch wahrscheinlich nicht bewusst, dass auch Microsoft Teams ein Phishing-Vektor sein kann“, heißt es in dem Forschungsbericht.
„Die meisten Teams-Aktivitäten finden innerhalb einer Organisation statt. Microsoft aktiviert jedoch standardmäßig den externen Zugriff, der es Mitgliedern einer Organisation ermöglicht, Benutzer außerhalb der Organisation zu ihren Teams-Chats hinzuzufügen. Diese Funktion bietet böswilligen Akteuren eine neue Möglichkeit, ungeschulte oder unwissende Benutzer anzugreifen“.
In dem von AT&T Cybersecurity untersuchten Fall verwendeten die Angreifer eine kompromittierte Domain, um die Nachrichten zu versenden.
„.onmicrosoft[.]com“ ist ein wichtiges Detail, das hier zu beachten ist“, so die Forscher. „Diese Domain scheint echt zu sein, weshalb die meisten Benutzer wahrscheinlich davon ausgehen, dass sie legitim ist. OSINT-Recherchen zu dieser Domain zeigen keine Meldungen über verdächtige Aktivitäten. Das MDR SOC-Team geht deshalb davon aus, dass der Benutzername (und möglicherweise die gesamte Domain) wahrscheinlich von den Angreifern kompromittiert wurde, bevor sie den Phishing-Angriff starteten.“
In diesem Fall haben die Angreifer den Nutzern eine bösartige Datei mit einer doppelten Erweiterung geschickt. Diese soll den Nutzern vorgaukeln, dass es sich um eine PDF-Datei handelt. Beim Öffnen dieser Datei wird die DarkGate-Malware installiert.
„Das MDR SOC-Team untersuchte die gefälschten Benutzer weiter, um die genaue Art des Angriffs zu bestimmen,“ erklären die Forscher. „Anschließend entdeckten sie drei Benutzer, die eine verdächtige Datei mit doppelter Erweiterung heruntergeladen hatten. Die Datei hieß 'Navigating Future Changes October 2023.pdf.msi'. Angreifer verwenden Dateien mit doppelter Erweiterung häufig, um Benutzer zum Herunterladen bösartiger ausführbarer Dateien zu verleiten. Die zweite Erweiterung, in diesem Fall .msi, wird normalerweise vom Dateisystem versteckt. Der Benutzer glaubt, dass er eine geschäftliche PDF-Datei herunterlädt, erhält aber stattdessen ein bösartiges Installationsprogramm.“
Schulungen zum Sicherheitsbewusstsein sind hilfreich, um Mitarbeitern ein gesundes Misstrauen zu vermitteln, damit sie Social-Engineering-Methoden erkennen können. KnowBe4 ermöglicht es Mitarbeitern, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Mehr als 65.000 Unternehmen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo