Falske Microsoft Teams-opdateringer fører til Cobalt Strike-implementering

Stol aldrig på en opdateringsannonce.

Ransomware-operatører bruger falske annoncer til Microsoft Teams-opdateringer til at inficere systemer med bagdøre, der implementerer Cobalt Strike-malware for at kompromittere resten af ​​netværket. Det skriver Bleeping Computer.

Angrebene er ifølge det oplyste rettet mod organisationer i forskellige brancher, men de nyeste er fokuseret på uddannelsessektoren.

På på malvertising  

Bleeping Computer har set en ikke-offentlig tilgængelig advisory fra Microsoft, hvor kunderne advares om disse såkaldte FakeUpdates-kampagner. I advisorien skriver Microsoft, at indvirkningen af ​​angrebet vil kunne mindskes via Microsofts Defender ATP-tjenesten.

FakeUpdates-angreb er tidligere blevet set i 2019, hvor DoppelPaymer-ransomware var leverancen. Men i år er der tilsyneladende sket et fald i de såkaldte malvertising campaigns, dvs. kampagner for der anvendes ’advertising’ med malware, deraf begrebet malvertising. I stedet bruges signerede binære filer og forskellige to-trins payloads.

Generelt vil softwarevirksomheder aldrig udsende rettelser via mail eller annonceringer, og derfor skal man ikke stole på en annonce, der hævder at indeholde opdateringer til systemer.

I stedet udsendes rettelser til software via opdateringer, og med automatisk opdatering slået til får man altid de nyeste opdateringer til ens systemer.

Links:

https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-updates-lead-to-cobalt-strike-deployment/