ESET publiceert zijn eerste THREAT Report 2020

Het kwartaal werd bepaald door de COVID-19-uitbraak maar terwijl cryptominers en Android-malware daalden, namen webbedreigingen toe, volgens de ESET-telemetrie.

Bratislava, april 2020 – Met ingrijpende veranderingen als gevolg van de COVID-19-pandemie, hebben cybercriminelen hun strategieën aangepast om te profiteren van veranderingen in het leven van mensen en ontwrichtingen in het bedrijfsleven. Ondanks de lockdowns hebben ESET-onderzoekers, detectie-ingenieurs en beveiligingsexperten hun inspanningen opgedreven om malware op te sporen en het internet veiliger te maken.

Het ESET Threat Report voor Q1 2020 vat deze inspanningen, bevindingen en resultaten samen.

In maart ontdekte ESET een golf scams en malwarecampagnes die de pandemie als lokmiddel gebruikten. " De cybercriminelen begonnen blijkbaar te profiteren van de angsten en de honger naar informatie van de mensen," aldus Roman Kováč, ESET Chief Research Officer.

Als een mogelijk neveneffect van lockdowns, zagen sommige bedreigingen - meer bepaald webbedreigingen - een grote toename in het totale aantal detecties. Het kwartaal zag ook een voortzetting van de opkomst van stalkerware. Bij andere soorten bedreigingen, zoals cryptominers en Android-malware, daalde het aantal detecties in vergelijking met het voorgaande kwartaal.

Ondanks de pandemie ging ESET Research door met het onderzoeken van bedreigingen en kwetsbaarheden. Het ESET Threat Report Q1 2020 geeft een overzicht van de meest opvallende onderzoeksprojecten: het onthullen van nieuwe campagnes van de beruchte Winnti Group en Turla; de ontdekking van KrØØk, voordien een onbekende kwetsbaarheid die de codering van meer dan een miljard Wi-Fi-apparaten aantast; het ontleden van de verduisteringstechnieken in Stantinko's nieuwe cryptomining module.

Lees het complete rapport hier en volg ESET Research op Twitter voor de nieuwste onderzoekresultaten.

Microsoft Teams flaw could let attackers hijack accounts

Microsoft plugs a security hole that could have enabled attackers to weaponize a GIF in order to hijack Teams accounts and steal data

Amer Owaida 

Microsoft has fixed a security flaw in Microsoft Teams that, if left unattended, could have been exploited to take over user accounts. By hijacking a Teams account, the bad actors might eventually traverse through the organization and gather data from the Teams accounts ranging from confidential information, passwords and business plans, among other things, according to researchers from CyberArk.

With companies recently forced to switch to working remotely due to the COVID-19 pandemic, their IT departments were faced with a challenge on how to make the switch to home office safe. Resolving communication was a cornerstone issue, with a large number opting to use one of the premier platforms such as Zoom, Microsoft Teams, or Slack. This has, in turn, put the platforms and it users in the crosshairs of cybercriminals.

CyberArk has now described a possible attack scenario: “We found that by leveraging a sub-domain takeover vulnerability in Microsoft Teams, attackers could have used a malicious GIF to scrape user’s data and ultimately take over an organization’s entire roster of Teams accounts.” The sub-domains that were vulnerable to takeover were aadsync-test.teams.microsoft.com and data-dev.teams.microsoft.com.

“If an attacker can somehow force a user to visit the sub-domains that have been taken over, the victim’s browser will send this cookie to the attacker’s server and the attacker (after receiving the authtoken) can create a skype token. After doing all of this, the attacker can steal the victim’s Teams account data,” reads the article.

RELATED READING: Work from home: Videoconferencing with security in mind

Exploitation of the vulnerability would have involved sending the victims a malicious GIF file. Worryingly, even viewing the GIF would have been enough to be affected, and the attack could spread automatically, in a worm-like fashion. The flaw is said to have been present in both the desktop and web browser versions of Teams.

CyberArk disclosed its findings to Microsoft on March 23^rd, with the tech giant acting quickly and correcting the misconfigured Domain Name System (DNS) records on the same day. On April 20^th, Microsoft issued a patch for Teams. Apparently, no attacks were spotted in the wild.

Zoom, one of Teams’ key competitors in the communication andcollaboration arena, has had its share of privacy and security issues of late. Also, those findings came after half a million Zoom accounts were offered for sale on the dark web, although this was not due to any kind of breach of Zoom’s defenses.