افتانا - سوء استفاده هکرها از گیف‌های Microsoft Teams

محققان امنیت سایبری روشی جدید به نام GIFShell را کشف کردند که هکرها برای سرقت اطلاعات از رایانه‌های قربانیان استفاده می‌کنند.

محققان امنیت سایبری روشی جدید به نام GIFShell را کشف کردند که هکرها برای سرقت اطلاعات از رایانه‌های قربانیان استفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بابی راک، متخصص و مشاور امنیت سایبری اخیراً کشف کرده است که هکرها با اجرای حملات فیشینگ با استفاده از تکنیک حمله جدید به نام GIFShell از Microsoft Teams با استفاده از GIF برای اجرای دستورات مخفی به منظور سرقت داده‌ها سوء استفاده می‌کنند.

با استفاده از این روش جدید، مهاجمان می‌توانند حملات پیچیده‌ای را اجرایی کنند که از نقاط ضعف مختلف در Microsoft Teams سوء استفاده می‌کند. عاملان تهدید این کار را برای سوء استفاده از زیرساخت قانونی مایکروسافت برای ارائه و اجرای موارد زیر انجام می‌دهند:

• فایل‌های مخرب
• دستورات غیر قانونی
• استخراج داده‌ها از طریق فایل‌های GIF

داده‌ها از طریق سرورهایی که توسط خود مایکروسافت کنترل می‌شوند، استخراج می‌شوند. در حالی که دلیل اصلی این امر این است که اطمینان حاصل شود که نرم‌افزار امنیتی احتمال کمتری دارد که بتواند این ترافیک را شناسایی کند.

به دلیل نگرانی‌های امنیتی، هیچ کاربر خارجی به طور پیش‌فرض مجاز به اشتراک‌گذاری فایل با کاربران ساکن دیگر نیست. هدف از این ویژگی جلوگیری از ارسال پیوست‌های مخرب توسط کاربران خارجی از طریق Microsoft Teams به یک کاربر در سازمان دیگر است.

در حالی که وقتی یک کاربر در یک سازمان سعی می‌کند هر فایلی را برای کاربری در سازمان دیگر ارسال کند، هیچ گزینه پیوستی برای آپلود وجود نخواهد داشت.

این حمله بر اساس کامپوننتی به نام GIFShell است که یکی از مهم‌ترین قسمت‌هاست. در نتیجه، یک پوسته معکوس می‌تواند توسط مهاجم ایجاد شود تا با استفاده از فایل‌های GIF کدگذاری شده base۶۴ دستورات مخرب را در داخل Microsoft Teams ارائه کند.

برای اینکه GIFShell کار کند، یک فایل اجرایی مخرب به نام «stager» با فریب دادن کاربران به بارگذاری دستگاه، سیستم قربانی را تحت کنترل درمی‌آورد. گزارش‌های Microsoft Teams که در مکان‌های زیر قرار دارند به طور مداوم توسط این فایل اجرایی اسکن می‌شوند:

$HOMEAppDataRoamingMicrosoftTeamsIndexedDBhttps_teams.microsoft.com_۰.indexeddb.leveldb*.log.

پس از نصب فایل استیجر، یک عامل مخرب در Microsoft Teams ایجاد می‌شود تا حمله را انجام دهد. پس از آن، آن‌ها با کاربران خارج از سازمان خود که از Microsoft Teams استفاده می‌کنند، تماس می‌گیرند.

Microsoft Teams به طور پیش‌فرض امکان ارتباط خارجی را فراهم می‌کند، بنابراین مهاجمان می‌توانند به راحتی از این ویژگی برای دسترسی به تیم شما استفاده کنند.

استیجر می‌تواند دستورات کدگذاری‌شده base۶۴ را از یک پیام با GIF استخراج کند و زمانی که چنین پیامی را شناسایی کرد، آن‌ها را روی دستگاهی اجرا کند. پس از آن، خروجی دستور اجرا شده توسط GIFShell PoC به متن base۶۴ تبدیل می‌شود.

پیامد این حمله این است که ترافیک شبکه Microsoft Teams قانونی با خروجی حمله GIFShell ترکیب می‌شود که به آن اجازه می‌دهد به طور مخفیانه داده‌ها را استخراج کند.

مایکروسافت در پاسخ به این تحقیق، آن را پذیرفت، اما تاکید کرد که هیچ مرز امنیتی نقض نشده است، بنابراین رفع نخواهد شد.

منبع: Cyber Security News