透過微軟Teams散佈惡意程式的攻擊又一樁!駭客假冒IT支援發動ModeloRAT攻擊,誘騙企業員工執行遠端工具
攻擊手法與背景
駭客透過微軟Teams平臺,假冒IT支援人員,聲稱偵測到異常郵件活動,並表示可協助排除問題,進而誘騙企業員工啟用遠端管理工具,如Windows內建的快速協助(Quick Assist)或惡意程式。
惡意程式與攻擊目標
攻擊者利用社交工程手法,誘導員工安裝惡意程式,如「Matanbuchus」或ModeloRAT,這些工具可讓攻擊者取得受害電腦的遠端控制權,進而竊取敏感資料或執行進一步攻擊。
風險與防範
- 微軟Teams預設允許外部人員與企業內部員工進行通話,此功能被攻擊者濫用,成為社交工程的載體。
- 許多企業依賴託管服務供應商提供IT支援,導致員工對「IT人員」的訊息產生信任,成為攻擊的弱點。
- 攻擊者常偽造官方修復程式或惡意文檔,一旦點開即執行惡意程式,取得系統遠端存取權。
相關安全建議
企業應加強員工資安訓練,對任何要求啟用遠端工具或提供系統權限的請求保持警覺,並建立內部審核機制,以降低社交工程攻擊的成功率。