Novo ataque usa GIFs para roubar dados no Microsoft Teams

Um ataque altamente sofisticado possibilita o uso de GIFs para extração de dados em sistemas comprometidos, a partir do Microsoft Teams. O golpe combina a contaminação por malware com uma série de brechas no próprio aplicativo, fazendo com que as informações sejam roubadas dos computadores e transferidas até mesmo pelos sistemas da própria companhia.

• Conheça as 10 vulnerabilidades mais usadas em ataques contra empresas
• 5 dicas para manter os e-mails corporativos mais seguros

A cadeia complexa de explorações, batizada de GIFShell, foi demonstrada pelo consultor em segurança Bobby Rauch, que compartilhou os achados com o site Bleeping Computer. A ideia básica, claro, é se aproveitar de elementos simples e amplamente compartilhados, ou seja, aos quais o usuário dão pouca atenção, para abusar da infraestrutura legítima da Microsoft e do Teams, tão usado em tempos de trabalho remoto e híbrido.

A sequência começa com a contaminação do computador com um stager, malware que analisa constantemente os logs do aplicativo de comunicação em busca de entradas específicas, customizadas pelos criminosos. Na sequência, o contato entre os bandidos e as vítimas acontece por meio do próprio Teams, com o uso de imagens em formato GIF modificadas para conterem scripts em Python que, por sua vez, são armazenados pelo sistema.

O stager é responsável por detectar tais entradas e as executar, rodando o GIF a partir de servidores controlados pelos criminosos, mas através da infraestrutura da Microsoft, juntamente com códigos maliciosos. A partir daí, começam as explorações, com o atacante podendo usar mais imagens customizadas com novos comandos para extrair dados. A possibilidade de download e execução de novas pragas, como ransomware, também existe a partir desse mesmo processo.

O processo funciona em segundo plano no Windows, juntamente com o próprio Teams, enquanto o uso das comunicações legítimas da Microsoft dificulta muito a detecção de que algo de errado está acontecendo. O aumento na furtividade pode levar a ataques consideráveis contra sistemas corporativos, que costumam ser o alvo de ações desse tipo.

Brecha de privacidade no Teams também pode levar a ataques

Outra abertura encontrada com Rauch envolve uma questão que, inicialmente, poderia servir como obstáculo para o GIFShell. Por padrão, o aplicativo não permite que usuários de fora da lista de contatos de alguém envie arquivos anexos, o que criaria a necessidade de phishing para que a etapa inicial da contaminação fosse bem-sucedida.

Entretanto, o pesquisador descobriu que, quando essa transferência de dados é permitida, um link do serviço Sharepoint é gerado, com solicitações JSON que podem ser manipuladas para incluírem links maliciosos. Assim, no lugar de um anexo, seria possível enviar uma URL aparentemente legítima e, novamente, furtiva dos serviços de segurança, que traria o stager que inicia a cadeia de exploração ao computador da vítima.

Na prova de conceito de Rauch, foi possível usar documentos do Excel com macros, imagens em formato JPG e outros arquivos aparentemente comuns como isca para essa exploração. Com isso, seria possível executar ataques que envolvem tanto o download de pragas quanto a execução remota de códigos, levando a criação de usuários com privilégios elevados ou a abertura de portas de entrada para ataques posteriores.

A Microsoft também foi informada sobre a exploração e, em comunicado, disse que não vai corrigir o problema, uma vez que não foram encontradas brechas diretas na segurança de seu produto, com o ataque dependendo de contaminação a partir de deslize do próprio usuário. A empresa agradeceu o trabalho do pesquisador e indicou que seus times analisariam o caso em versões futuras, mas sem o lançamento de uma atualização para correção direta.

Não existem informações sobre uso do GIFSHell em ataques contra usuários. Mas uma vez que a prova de conceito foi publicada, após um período de divulgação responsável que começou em maio deste ano, quando a Microsoft foi informada, pode ser questão de tempo até que as corporações se tornem suscetíveis ao golpe descrito.

Fonte: Bleeping Computer