Атака GIFShell использует GIF-файлы в Microsoft Teams для доставки вредоносного ПО

Новый метод атаки под названием «GIFShell» позволяет злоумышленнику использовать Microsoft Teams для фишинговых атак и скрытого выполнения команд для кражи данных с использованием GIF-файлов.

Для проведения атаки хакеры объединяют многочисленные уязвимости и недостатки Microsoft Teams. Поскольку эксфильтрация данных осуществляется через собственные серверы Microsoft, вредоносный трафик не будет обнаружен средствами безопасности, которые рассматривают его как законный трафик Microsoft Team.

Новую цепочку атак обнаружил консультант по кибербезопасности и пентестер Бобби Раух. По его словам, множество уязвимостей в Microsoft Teams можно связать вместе для выполнения команд, кражи данных, обхода инструментов безопасности и фишинговых атак.

Основной компонент этой атаки GIFShell позволяет киберпреступнику создать обратную оболочку, которая доставляет вредоносные команды через GIF-файлы в кодировке Base64 в Microsoft Teams, а также отфильтровывает выходные данные через GIF, полученные собственной инфраструктурой Microsoft. Чтобы создать обратную оболочку, хакер должен сначала убедить пользователя установить вредоносный загрузчик.

После загрузки установщик GIFShell постоянно сканирует журналы Microsoft Teams. Все полученные сообщения сохраняются в этих журналах и доступны для чтения всем пользователям Windows. Это значит, что любое вредоносное ПО на устройстве может получить к ним доступ.

После этого киберпреступник создает собственный клиент Microsoft Teams и связывается с другими пользователями Teams за пределами организации, поскольку Microsoft по умолчанию разрешает внешнюю связь.

Далее хакер отправляет пользователю сообщение, содержащее специально созданный GIF-файл. Однако, GIF содержит команды для выполнения на целевом компьютере. Когда цель получит сообщение, сообщение и GIF будут сохранены в журналах Microsoft Team, которые отслеживает злоумышленник.

Когда загрузчик обнаруживает сообщение с GIF, он извлекает команды в кодировке Base64 и выполняет их на устройстве. Затем GIFShell преобразует команду в текст Base64, который используется в качестве имени GIF-файла.

Поскольку сообщения отправляются в среде Microsoft Teams, трафик будет считаться законным и не будет обнаружен решениями безопасности. Это позволяет атаке GIFShell скрытно извлекать данные, смешивая выходные данные своих команд с законным сетевым взаимодействием Microsoft Teams.

Более того, поскольку Microsoft Teams работает как фоновый процесс, пользователю даже не нужно открывать его, чтобы вредоносные команды выполнились.

Microsoft признала недостаток и заявила, что он не будет исправлен, поскольку границы безопасности не нарушены. Однако, чтобы киберпреступники не использовали Microsoft Teams для фишинговых атак, Microsoft запретила внешним пользователям отправлять вложения членам другого клиента.