Um novo tipo de ataque cibernético que explora falhas no Microsoft Teams possibilita o roubo de dados a partir do uso de GIFs aparentemente inofensivos. A campanha maliciosa, descoberta pelo consultor de segurança online Bobby Rauch, foi detalhada pelo BleepingComputer na última quinta-feira (8).
Batizada de “GIFShell”, a técnica começa com a instalação de um “stager”, malware que analisa logs do mensageiro da Microsoft, no dispositivo da vítima, o que pode ser feito via ataque de phishing. Esse arquivo malicioso faz verificações contínuas no Teams, em busca de brechas.
Na sequência, os cibercriminosos entram em contato com o alvo pelo programa de mensagens utilizando GIFs modificados, executados em servidores controlados por eles, mas rodando na estrutura da gigante de Redmond. É neste momento que os responsáveis pela ação começam a executar códigos maliciosos na máquina de destino.
)
O Microsoft Teams ganhou ainda mais popularidade com o trabalho remoto durante a pandemia.
Quando a vítima recebe o GIF malicioso, o stager extrai os comandos codificados e está pronto para realizar as ações determinadas pelos criminosos virtuais, que vão desde o roubo de dados à execução de diferentes outros tipos de ataques cibernéticos. O malware pode continuar a receber novos comandos e executá-los enquanto estiver ativo no computador.
Difícil detecção
De acordo com Rauch, o uso de GIFs maliciosos para roubar dados no Microsoft Teams é uma ação difícil de detectar. Isso se deve à utilização da rede legítima do mensageiro na campanha, com as informações extraídas se misturando às comunicações feitas por meio do programa, atrapalhando o trabalho de antivírus e outras ferramentas de segurança.
Apesar disso, a big tech ainda não trabalha em uma correção para o problema, por enquanto. Alertada pelo pesquisador sobre os bugs em maio deste ano, a companhia disse que “vulnerabilidades de menor gravidade não representam um risco imediato para os clientes”, além de ressaltar que a exploração delas depende de várias etapas e de erros cometidos pelo usuário.
Em comunicado, a dona do Windows disse ainda que uma atualização de segurança não está descartada futuramente, mas sem citar qualquer prazo. Até o momento, não há informações a respeito do uso do GIFShell em ataques cibernéticos.
)
)
)
)
)
)
)
)
)
)
)
)
)
