研究人員發現受感染的 Microsoft 365 帳戶向目標發送帶有惡意附件的訊息。惡意附件從 SharePoint下載,一旦打開,會導致執行 AutoIT 腳本,該腳本啟動 shellcode 以加載 DarkGate程序。
DarkGate 加載程序自 2017 年以來一直存在。該加載程序還具有其他功能,包括:加密挖掘、瀏覽器歷史記錄和 cookie 盜竊、遠端訪問和控制等。
Jumpsec 研究人員最近發現Microsoft Teams 中的一個錯誤,該錯誤可能允許威脅行為者繞過用戶端的安全管控機制,允許組織外部的 M365 用戶向員工發送文件,從而將惡意軟體傳遞到員工的收件箱中。
資安人員表示目前 Microsoft Teams 安全功能,如安全附件或安全鏈接,無法檢測或阻止這種攻擊。在Microsoft Teams 中防止這種攻擊的唯一方法是限制允許來自特定外部域的Microsoft Teams 聊天請求,所有受信任的外部領域都需要由IT 管理員列入白名單才可進行對話,但此舉可能產生業務營運的影響。
人性往往都會因為好奇而去點取,但面對來路不明的信件及附件千萬不要隨意點擊,因為我們並不知道下一秒會發生什麼事情,也無法保證信件內有無夾帶任何惡意攻擊軟體,對於信件往來必須特別小心。
詳文請見資安人新聞稿