Yeni bir rapora göre araştırmacılar, kötü amaçlı yazılım yayarak Office 365 kullanıcı kimlik bilgilerini çalmak için Microsoft Teams’i kötüye kullanmanın daha fazla yolunu keşfetti.
Yeni Prova Noktası bulgular (yeni sekmede açılır) bilgisayar korsanlarının, Microsoft Teams ile Takvim ve Teams API arasında eşitleme yapmak için kullanılan Sekmeler özelliğini, şüphelenmeyen kurbanlara damlatıcılar veya kimlik avı sayfaları göndermek için kötüye kullanabileceğini iddia ettiler.
Sekmeler özellik sağlayıcıları, kullanıcıları OneDrive gibi farklı araçlara hızlı erişimle birleştirir. Varsayılan sekmeler hareket ettirilemediğinden, kullanıcılar farklı sekmelere alışabilir ve iyi huylu doğalarını ikinci kez tahmin etmeden kullanabilirler. Ancak, varsayılan sekmeleri taşımanın bir yolu vardır; bu, siber suçluların meşru sekmeleri kötü niyetli sekmelerle değiştirmek için kullanabileceği bir yoldur. Proofpoint, böyle bir örnekte, bir “Web sitesi” sekmesinin, kurbanların Office 365 kimlik bilgilerini vermelerine neden olabilecek kötü amaçlı bir açılış sayfasına işaret edebileceğini söylüyor.
Kötüye kullanılan toplantılar
Web Sitesi sekmesi, tıklamayla otomatik olarak indirilecek olan bir dosyaya işaret edecek şekilde değiştirilebilir. Araştırmacılar, siber suçluların damlalık dağıtmak için bu işlevi kötüye kullanabileceğini söyledi.
Bir üye çevrimiçi bir toplantı oluşturduğunda Microsoft Teams toplantı davetleri de silah haline getirilebilir (yeni sekmede açılır), platform birden çok bağlantı oluşturur ve davetlilere gönderir. Teams API çağrılarının yardımıyla, bir tehdit aktörü meşru bağlantıları kötü amaçlı olanlarla değiştirebilir.
Dolandırıcılar, gönderilen iletilerdeki mevcut bağlantıları silah haline getirmek için Teams API’sini veya kullanıcı arabirimini kullanarak farklı bir yaklaşım da izleyebilir. Bu senaryoda, kurbanların aldığı köprü değil, sadece arkasındaki URL değişir ve bu da keşfi daha da zorlaştırır.
Araştırmacılar bu yöntemlerin tehlikeli olduğu konusunda uyarıda bulunurken, saldırganların etkili olabilmesi için önceden bir Teams hesabı edinmesi gerektiğini vurguladılar.