Хакеры используют продвинутые приемы социальной инженерии, чтобы попытаться получить старые неисправные файлы .DLL на компьютеры людей, что, в свою очередь, позволит им загружать вредоносное ПО.
В новом отчете исследователей кибербезопасности Trend Micro утверждается, что новая атака начинается с Microsoft Teams, где мошенники используют имперсонацию, чтобы подобраться к жертвам и обманом заставить их предоставить определенный набор учетных данных. С помощью Quick Assist или аналогичных инструментов удаленного рабочего стола они получают доступ к устройствам, на которые они загружают неисправные файлы .DLL с помощью OneDriveStandaloneUpdater.exe, законного инструмента обновления OneDrive.
Затем эти файлы .DLL позволяют им загружать BackConnect, тип инструмента удаленного доступа (RAT), который устанавливает обратное соединение с зараженного устройства на сервер злоумышленника, обходя ограничения брандмауэра. Это позволяет злоумышленникам поддерживать постоянный доступ, выполнять команды и извлекать данные, обходя традиционные меры безопасности.
Trend Micro сообщает, что атаки начались в октябре 2024 года и в основном были сосредоточены на Северной Америке, где было зафиксировано 21 нарушение — 17 в США, пять в Канаде и Великобритании и 18 в Европе. Исследователи не сообщили, были ли атаки успешными или на какие отрасли они были нацелены больше всего.
Поскольку большинство инструментов, используемых в этой кампании, являются законными (Teams, OneDriveStandaloneUpdater, Quick Assist), традиционных антивирусных или вредоносных служб защиты будет недостаточно. Вместо этого компании должны обучать своих сотрудников выявлять атаки социальной инженерии и своевременно сообщать о них. Компании также могут принудительно использовать многофакторную аутентификацию (MFA) и ограничить доступ к инструментам удаленного рабочего стола.
