Af Eskil Sørensen, 10/11/20
Ransomware-operatører bruger falske annoncer til Microsoft Teams-opdateringer til at inficere systemer med bagdøre, der implementerer Cobalt Strike-malware for at kompromittere resten af netværket. Det skriver Bleeping Computer.
Angrebene er ifølge det oplyste rettet mod organisationer i forskellige brancher, men de nyeste er fokuseret på uddannelsessektoren.
På på malvertising
Bleeping Computer har set en ikke-offentlig tilgængelig advisory fra Microsoft, hvor kunderne advares om disse såkaldte FakeUpdates-kampagner. I advisorien skriver Microsoft, at indvirkningen af angrebet vil kunne mindskes via Microsofts Defender ATP-tjenesten.
FakeUpdates-angreb er tidligere blevet set i 2019, hvor DoppelPaymer-ransomware var leverancen. Men i år er der tilsyneladende sket et fald i de såkaldte malvertising campaigns, dvs. kampagner for der anvendes ’advertising’ med malware, deraf begrebet malvertising. I stedet bruges signerede binære filer og forskellige to-trins payloads.
Generelt vil softwarevirksomheder aldrig udsende rettelser via mail eller annonceringer, og derfor skal man ikke stole på en annonce, der hævder at indeholde opdateringer til systemer.
I stedet udsendes rettelser til software via opdateringer, og med automatisk opdatering slået til får man altid de nyeste opdateringer til ens systemer.