Согласно отчету экспертов по кибербезопасности из компании Trend Micro, злоумышленники используют платформу Microsoft Teams для первоначального проникновения в систему. Они прибегают к тактике выдачи себя за других лиц, чтобы установить доверительные отношения с потенциальными жертвами и убедить их раскрыть свои учетные данные. После получения доступа к учетным данным, злоумышленники применяют Quick Assist или другие аналогичные программы для удаленного управления рабочим столом, чтобы получить контроль над устройствами. На эти устройства загружаются вредоносные DLL-файлы с использованием легитимного инструмента обновления OneDrive — OneDriveStandaloneUpdater.exe.
Вредоносные DLL-файлы служат для установки BackConnect, разновидности инструмента удаленного доступа (RAT). BackConnect создает обратное соединение между зараженным устройством и сервером, контролируемым злоумышленниками, что позволяет обходить защиту брандмауэра. Это обеспечивает злоумышленникам устойчивый доступ к системе, возможность выполнения команд и извлечения данных, игнорируя стандартные методы защиты.
Trend Micro сообщает, что волна атак началась в октябре 2024 года и была преимущественно направлена на Северную Америку. Зафиксировано 21 инцидент, из которых 17 произошли в США, пять в Канаде и Великобритании, а также 18 в Европе. Так как в данной кампании злоумышленники используют в основном легитимные инструменты, такие как Teams, OneDriveStandaloneUpdater и Quick Assist, традиционные антивирусные программы и системы защиты от вредоносного ПО могут оказаться неэффективными. В связи с этим, компаниям рекомендуется обучать своих сотрудников распознаванию признаков атак социальной инженерии и своевременному информированию об обнаруженных подозрительных действиях. Кроме того, рекомендуется обязательное внедрение многофакторной аутентификации (MFA) и ограничение доступа к инструментам удаленного рабочего стола.
Как сообщалось ранее — «Ъ»: Бодибилдера обвинили в убийстве трансгендера в Мурино