Útočníci neustále hledají cesty, jak lidem do počítačů dostat malware, čím nenápadnější způsob, tím lepší. Nově se proto začali zaměřovat i na GIFy, které si mezi sebou posílají lidé v Microsoft Teams. Zneužili několik chyb v komunikační platformě a do animovaných obrázků umístili škodlivý kód, který po jejich otevření může vést ke spuštění určitých pokynů.
Na problém upozornil kyberbezpečnostní expert Bobby Rauch, jenž jej popsal pro server Bleeping Computer. Systém útoků nazval GIFShell a v tuto chvíli se týká výhradně Microsoft Teams (včetně nejnovější verze), protože se odvíjí od bezpečnostních děr, které Microsoft ve svém aplikaci dosud neopravil.
Teamsy podobně jako další chatovací aplikace umožňují sdílení GIFů. Některé tyto obrázky zakódované přes base64 však mohou být podle Raucha infikované, útočníkům se podařilo do nich vetřít malware.
Celý proces zahrnuje nejdříve donucení uživatele přes základní phishingové techniky otevřít externí přílohu, což není nic složitého, lidé na internetu stále klikají na věci, jejichž původ neznají. Tato příloha nainstaluje kód, který monitoruje všechny zprávy z Teamsů uložené na počítači uživatele – aplikace je ukládá lokálně a v prostém textu, takže opět nic složitého.
Jakmile tento uživatel obdrží infikovaný GIF, nainstalovaný kód si toho všimne a skrze webovou infrastrukturu Microsoftu aktivuje sérii pokynů, která vede až k odesílání dat na vzdálený server útočníků. Celé schéma je nastavené tak, že firewall má problém ho detekovat, Microsoft u běžných GIFů neanalyzuje jejich strukturu.
Rauch kvůli útokům už v květnu letošního roku kontaktoval Microsoft, avšak firma pro Bleeping Computer uvedla, že to nevidí jako bezpečnostní chybu, která potřebuje urgentní opravu. GIFy tak i nadále mohou být infikované a pro zatím bude nejlepší, když je na Teamsech otevírat nebudete. Zároveň expert doporučuje vypnout si externí přístup v administraci aplikace.