นักวิจัยจาก Truesec รายงานพบบัญชี Microsoft 365 2 รายการ โดนแฮ็กให้ส่งข้อความหลอกว่ามาจาก HR แต่แถมไฟล์แนบอันตรายมาด้วย ข้อความเหล่านี้อ้างตรงกันว่ามีการเปลี่ยนตารางวันหยุด อยากให้เข้ามาดูกัน
ไฟล์แนบ schedule.zip นี้เป็นลิงค์ให้ดาวน์โหลดจากไซต์ SharePoint ที่พอเปิดแล้วก็จะรันสคริปต์ AutoIT ที่จะไปรันเชลล์โค้ดเพื่อโหลดตัวโหลดเดอร์สำหรับมัลแวร์ DarkGate บนวินโดวส์อีกทีหนึ่ง ซึ่งโหลดเดอร์ตัวนี้ระบาดมาตั้งแต่ปี 2017 แล้ว
มัลแวร์ตัวนี้นอกจากเป็นโหลดเดอร์ที่โหลดข้อมูลอันตรายอื่นๆ เข้ามาที่เครื่องเหยื่อแล้ว ยังทำหน้าที่อันตรายอื่นๆ ด้วย ไม่ว่าจะเป็นการแอบขุดเหมืองเงินคริปโต การดูดข้อมูลประวัติการท่องเว็บและคุกกี้ การเข้าถึงและควบคุมจากระยะไกลเป็นต้น
ทั้งนี้การโจมตีแบบฟิชชิ่งผ่าน Microsoft Teams ไม่ใช่เรื่องใหม่แต่อย่างใด ก่อนหน้านี้ทาง Jumpsec ก็พบบั๊กที่เปิดให้ผู้โจมตีส่งมัลแวร์เข้ากล่องข้อความของพนักงานแบบผ่านการควบคุมด้านความปลอดภัยฝั่งไคลเอนต์ได้ ที่ปกติจะไม่อนุญาตให้ผู้ใช้ M365 เทนแนนท์อื่นส่งไฟล์ให้พนักงานภายในโดยตรง
อ่านเพิ่มเติมที่นี่ – HNS
