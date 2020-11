Gli hacker approfittano del Covid-19 e del conseguente boom dello smartworking per lanciare campagne e veicolare virus anche tramite le piattaforme di videoconferenza, come Microsoft Teams. La piattaforma di Microsoft, infatti, sembra al centro di una campagna di tipo “FakeUpdates“: gli utenti vengono invitati a scaricare e installare un falso aggiornamento che, in realtà, serve solo a fare entrare un virus nel dispositivo usato.

Nel 2019 sono stati osservati numerosi attacchi FakeUpdates che distribuivano il ransomware DoppelPaymer, quest’anno, invece, si assiste ad una evoluzione tecnica che ha spinto la stessa Microsoft ha diffondere un avviso a molti amministratori di gruppi di lavoro su Teams. Recentemente, ad esempio, sono stati veicolati tramite Teams nuovi virus in grado di sfruttare la famosa vulnerabilità ZeroLogon di Windows. Ma c’è anche di più (e di molto peggio): sono stati individuati degli annunci su Google tramite i quali gli utenti che cercavano l’app di Teams venivano dirottati verso un sito creato ad arte per scaricare una versione fake e infetta della piattaforma di videoconferenze di Microsoft.

Microsoft Teams: i pericoli della versione fake

Quando un utente entra nel sito e fa click per scaricare l’aggiornamento fake di Microsoft Teams viene scaricato, oltre all’app originale di Teams (che viene fatta scaricare solo per non creare sospetti nell’utente), un “Payload“, cioè un primo virus che serve a inviare informazioni agli hacker e a scaricare altri malware dopo essersi intrufolato nel computer della vittima.

In alcuni casi il payload era Predator the Thief, che invia informazioni sensibili all’attaccante come credenziali di accesso, i dati sul browser utilizzato e quelli sui metodi di pagamento registrati. Altri malware distribuiti con lo stesso sistema sono la backdoor Bladabindi (NJRat) e ZLoader. Nel caso più recente di infezione registrato da Microsoft è stato scaricato Cobalt Strike, che in teoria non è un virus ma viene usato come tale.

Come funziona Cobalt Strike e perché è pericoloso

Cobalt Strike è uno strumento che, in teoria, dovrebbe proteggerci dai virus: serve infatti a fare una scansione del sistema in cerca di falle di sicurezza che potrebbero permettere ai malware di entrare nel dispositivo. Se comandato da remoto, però, può essere usato come un vero e proprio virus e può inviare ad un server le nostre informazioni bancarie, le password e vari altri dati sensibili.

Microsoft ha anche notato alcuni casi in cui, tramite il metodo appena descritto, è stato scaricato un ransomware che ha criptato l’intera memoria di archiviazione al fine di chiedere un riscatto all’utente per avere di nuovo accesso ai propri dati.

Come difendersi dagli attacchi hacker su Teams

Dalla descrizione del metodo usato dagli hacker per veicolare malware tramite Teams emerge chiaramente che l’infezione non inizia dentro Teams, ma fuori: su un sito Web nel quale l’utente finisce per sbaglio quando cerca di installare una copia autentica dell’app di Microsoft.

Il colosso di Redmond, per questo, consiglia di usare un browser in grado di filtrare e bloccare i siti che distribuiscono malware e software pericolosi. Consiglia anche, su computer con Windows, di limitare i privilegi concessi agli utenti che accedono al PC perché se uno di questi virus riesce ad entrare durante la sessione di un amministratore può fare molti più danni. Infine, Mirosoft consiglia anche il blocco del codice JavaScript e VBScript che potrebbe comandare il download di software pericoloso da Internet.