Los GIFS se han apoderado de nuestras conversaciones diarias, desafortunadamente para todos los usuarios de Microsoft Teams pueden presentar un peligro, ya que ha aparecido un malware conocido cómo GIFSHELL.
Este fue descubierto por el experto en seguridad Bobby Rauch, GIFSHELL no es más que un vector de ataque muy desagradable, anteriormente Bobby había descubierto ataques que involucran a Apple Airtag.
Sin embargo, debemos destacar que este nuevo malware aprovecha múltiples brechas de seguridad en la conocida aplicación de chat y reuniones, el resultado de este ataque es que el atacante puede obtener acceso al Shell de un usuario remoto.
En último caso, el ataque necesita que el usuario en una organización use Teams para instalar un escenario, pero eso sí, se ha descubierto en trabajos de ingeniería social que pueden recortar este paso en el proceso.
Una vez que se encuentra instalado Stager, el código malicioso inspecciona los archivos de registro de Teams en de algún GIF, y en el caso de detectarse un GIF base64 lo decodifica e incrusta en él su propio código malicioso.
Luego de este proceso, la URL del GIF se reescribe para su futura visualización, incrustada desde la URL de un atacante; luego esa URL se hace pasar cómo una tarjeta de Teams, pasando totalmente desapercibido.
Dicha tarjeta no muestra ningún tipo de información hacia donde apunta este GIF, esta tarjeta de Teams contiene datos importantes que se usarán más adelante.
GIFSHELL presenta ser más peligroso de lo que se creía para los usuarios de Microsoft Teams
En este punto de este proceso de infección por parte del malware GIFSHELL, los GIF que han infectado se cargan automáticamente y posteriormente activan un enlace web para confirmar al ataque, mismo que el acceso malicioso se encuentra disponible.
El actor malicioso solo debe ejecutar los comandos desde su Shell remoto, esta acción permite que se ejecuten todos los comandos maliciosos, también el código malicioso, que se descarguen archivos, que se recolecten datos, todo muy desagradable para el usuario.
¿Qué deben hacer los usuarios de Teams para evitar este robo de datos?
Debemos destacar que lo que hace funcionar a un vector de ataque como lo es el malware GIFSHELL, son todos aquellos equipos que permiten configuraciones de acceso externo.
Entonces lo que debes hacer es desactivar esta opción siguiendo paso a paso las instrucciones de Microsoft, eso sí, ten en cuenta que algunas organizaciones aún pueden necesitar de este acceso.
Un ejemplo de esto, son todas aquellas organizaciones de contratación que podrían necesitar realizar entrevistas a nombre de su cliente, y para ello necesitan tener activa dicha función.
En este caso y para evitar posibles ataques por parte del malware GIFSHELL, recomendamos abiertamente hacer uso de la funcionalidad Teams Guest, que es una versión de acceso limitado de la aplicación.
Por otro lado, también aconsejamos supervisar todo tipo de acceso inusual a los archivos de registro de Teams, y así observar detalladamente las solicitudes inusuales con ayuda del servidor de búsqueda de Teams.
Ahora que este vector de ataque ya se ha hecho público y todos lo conocemos, debemos esperar la solución pronta por parte del gigante tecnológico Microsoft; mientras tanto recomendamos tener mucho cuidado con los enlaces en los que hacemos clic y las imágenes que descargamos.
No olvides dejarnos saber en los comentarios si eres usuario activo de Microsoft Teams, y si recientemente has descargado algún tipo de GIF que se vea particularmente extraño, recuerda seguir paso a paso todos los detalles que el gigante tecnológico Microsoft nos detalla en su sitio web oficial.
Comentarios!
Comentarios