Uma nova técnica de ataque chamada ‘GIFShell’ permite que os agentes de ameaças abusem do Microsoft Teams para novos ataques de phishing e execução secreta de comandos para roubar dados usando GIFs.

O novo cenário de ataque ilustra como os invasores podem reunir várias vulnerabilidades e falhas do Microsoft Teams para abusar da infraestrutura legítima da Microsoft para entregar arquivos maliciosos, comandos e realizar exfiltração de dados por meio de GIFs.

Como a exfiltração de dados é feita através dos próprios servidores da Microsoft, o tráfego será mais difícil de detectar por software de segurança que o vê como tráfego legítimo do Microsoft Team.

O principal componente desse ataque é chamado de ‘GIFShell’, que permite que um invasor crie um shell reverso que fornece comandos maliciosos por meio de GIFs codificados em base64 no Teams e exfiltra a saída por meio de GIFs recuperados pela própria infraestrutura da Microsoft.

Todas as mensagens recebidas são salvas nesses logs e podem ser lidas por todos os grupos de usuários do Windows, o que significa que qualquer malware no dispositivo pode acessá-las.