En ny våg av cyberattacker sveper över företag och myndigheter – och denna gång sker det genom ett verktyg många använder dagligen.
Cyberattacker ökar
Det handlar om den vanliga plattformen Microsoft Teams. Angripare utger sig för att vara teknisk support och lyckas lura flera användare att frivilligt släppa in dem i deras system.
Till skillnad från vanliga kampanjer är dessa attacker ovanligt välriktade. Hackare väljer sina offer med omsorg, ofta anställda i särskilt utvalda roller på företag – och kontakter dem direkt via Teams med vad som ser ut som ett äkta supportmeddelande, enligt Hackernews.
"Offren är noggrant utvalda och övertalas att köra ett skript som utlöser nedladdningen av ett arkiv", säger Morphisecs tekniska chef Michael Gorelik, enligt Morphisec.
När kontakten är igång påstår hackare att ett tekniskt problem upptäckts och att det krävs åtkomst för att lösa det. Verktyg som Quick Assist används och när åtkomsten väl är beviljad, installeras skadlig kod utan att man märker något alls.
Så luras du av hackare
Programvaran som används i attackerna är allt annat än enkel. Ett PowerShell-skript laddar ner ett arkiv som innehåller en förklädd uppdateringsfil, en XML-konfiguration och en skadlig DLL.
Den sistnämnda laddas in i bakgrund och fungerar som en så kallad: "malware loader" – i detta fall den ökända Matanbuchus 3.0.
Programmet används för att ladda ner ännu farligare skadlig kod, som till exempel Cobalt Strike, som kan ge hackaren full kontroll över datorn. I värsta fall kan hela företagets system bli låst och kräva ett lösensumma för att öppnas igen, enligt Dagens PS.
Kostnaden? 150 000 kronor
Matanbuchus marknadsförs i kriminella forum som en “tjänst” och kostar i vissa fall över 150 000 kronor per månad. Den används främst av professionella hackergrupper med avancerade resurser, grupperna vet exakt hur de ska agera för att inte bli upptäckt.
Undvik att bli hackad
Hur undviker man att bli drabbad?
Viktigast av allt är att vara påläst. Inom företag behöver anställda vara medveten om varningssignalerna och veta att en seriöst IT-support aldrig ber om fjärråtkomst via en chatt – särskilt inte utan förvarning, enligt
- Svara aldrig på oväntade meddelanden från okända konton i arbetsverktyg.
- Lämna aldrig datorn inloggad och obevakad – inte ens för några minuter.
- Kontakta alltid IT-avdelningen direkt om något känns misstänkt.
- Klicka aldrig på länkar eller kör skript från okända avsändare.
- Använd säkerhetsprogram som upptäcker och blockerar obehörig åtkomst.
