Na última quinta-feira uma campanha maliciosa, foi elo consultor de segurança online Bobby Rauch, foi detalhada pelo BleepingComputer, onde relata um novo tipo de ataque cibernético que explora falhas no Microsoft Teams possibilita o roubo de dados a partir do uso de GIFs aparentemente inofensivos.
Nomeada como “GIFShell”, a técnica começa com a instalação de um “stager”, malware que analisa logs do mensageiro da Microsoft, no dispositivo da vítima, o que pode ser feito via ataque de phishing. Esse arquivo faz verificações contínuas no Teams, em busca de brechas.
Em sequência, os cibercriminosos entram em contato com o alvo pelo programa de mensagens usando GIFs modificados, executados em servidores controlados por eles, mas rodando na estrutura da gigante de Redmond. É agora que os responsáveis pelo ataque começam a executar códigos maliciosos na máquina de destino.
Ao recebe o GIF malicioso, o stager extrai os comandos codificados e está pronto para realizar as ações determinadas pelos criminosos virtuais, que podem ir desde roubo de dados à execução de diferentes outros tipos de ataques cibernéticos. O malware pode continuar a receber novos comandos e executá-los enquanto estiver ativo no computador.
Difícil detecção
Segundo o Rauch, o uso de GIFs maliciosos para roubar dados no Microsoft Teams é uma ação difícil de detectar. Isso se deve à utilização da rede legítima do mensageiro na campanha, com as informações extraídas se misturando às comunicações feitas por meio do programa, atrapalhando o trabalho de antivírus e outras ferramentas de segurança.
A Microsoft não trabalha em uma correção para o problema, por enquanto. Mas foi alertada pelo pesquisador sobre os bugs em maio deste ano, a companhia disse que “vulnerabilidades de menor gravidade não representam um risco imediato para os clientes”, e ressaltou que a exploração delas depende de várias etapas e de erros cometidos pelo usuário.
A Microsoft em um comunicado disse que uma atualização de segurança não está descartada futuramente, mas sem citar nenhum prazo. Mas até o momento, não há informações a respeito do uso do GIFShell em ataques cibernéticos.