Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Екатерина Быстрова 09 Сентября 2022 - 12:18

...

Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новый вектор атаки “GIFShell“ позволяет киберпреступникам использовать Microsoft Teams в фишинговых кампаниях. В результате злоумышленники могут выполнить команды и выкрасть необходимые данные с помощью графических изображений в формате GIF.

По словам исследователей, которые поделились новым вектором с BleepingComputer, атакующие могут связать ряд уязвимостей в Microsoft Teams, что позволит им задействовать легитимную инфраструктуру Microsoft для доставки вредоносных файлов, выполнения команд и извлечения файлов с помощью GIF.

В процессе кражи данных через серверы Microsoft защитным программам будет сложнее детектировать нежелательный трафик, поскольку они будут расценивать его как безобидный поток Microsoft Team.

Принцип GIFShell строится на использовании ряда уязвимостей в Microsoft Teams и состоит из следующих шагов:

обход проверок безопасности Microsoft Teams — позволяет внешним пользователям отправлять вложения юзерам Microsoft Teams;
модификация отправленных вложений — позволяет заставить пользователя скачать файл по внешнему URL вместо сгенерированной ссылки SharePoint;
спуфинг вложений, который необходим для того, чтобы они выглядели безобидными файлами, но в итоге загружали вредоносный исполняемый файл или документ;
небезопасные URI-схемы — позволяют стащить хеш SMB NTLM или провести атаку на ретранслятор NTLM (NTLM relay);
Microsoft поддерживает отправку зашифрованных base64 GIF, но не сканирует содержимое байтов этих GIF. Это позволяет доставлять вредоносные команды с помощью легитимных с виду GIF;
Microsoft хранит сообщения Teams в лог-файле, который хранится локально на устройстве жертвы. Причём он доступен пользователю с низкими правами.
серверы Microsoft получают GIF с удалённых серверов, допуская извлечения данных с помощью имён GIF-файлов.

На вектор указал эксперт Бобби Раух, выявивший множество уязвимостей в Microsoft Teams, которые можно использовать в связке для выполнения команд, извлечения данных, обхода проверок и фишинговых атак.

GIFShell, по словам специалиста, позволяет атакующему создать обратный шелл, доставляющий вредоносные команды через зашифрованные base64 GIF в Teams. Раух даже опубликовал Python-скрипт, отправляющий пользователю Microsoft Teams сообщение, содержащее специально созданный GIF с командами.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 12:12

Корпорации

Убыток МойОфис вырос почти до 9 млрд рублей после пересдачи отчетности

У «МойОфис» дела идут не очень. Разработчик российского аналога Microsoft Office пересмотрел финансовую отчетность за 2025 год и почти вдвое увеличил размер чистого убытка — с 4 до 8,82 млрд рублей. Исправленная отчётность была опубликована 18 июня.

При этом выручка осталась прежней — 1,02 млрд рублей, что почти на 50% меньше, чем годом ранее.

Причина резкого ухудшения финансового результата — переоценка нематериальных активов. Их стоимость уменьшилась почти на 4,9 млрд рублей, а эта сумма перекочевала в статью «Прочие расходы», из-за чего итоговый убыток фактически удвоился.

В компании уверяют, что это лишь техническая корректировка бухгалтерского учета и она никак не повлияет на дальнейшую работу. По словам представителя НОТ, разработка продуктов продолжается: недавно вышли обновления «Документы настольные» и «МойОфис для дома», а обязательства перед заказчиками выполняются в полном объеме.

Однако независимые юристы и эксперты считают масштаб корректировки весьма необычным. По их мнению, столь серьёзное снижение стоимости нематериальных активов может говорить о пересмотре оценки того, насколько эти разработки способны приносить доход в будущем.

История выглядит особенно показательно на фоне слов Евгения Касперского, который недавно признал, что «МойОфис» остается убыточным активом, а импортозамещение в сегменте офисного ПО не работает. После кратковременного успеха в 2022 году, когда компания вышла в прибыль на фоне ухода Microsoft, финансовые показатели снова начали ухудшаться.

Параллельно в компании идет масштабная реструктуризация. Согласно обновленной отчетности, прекращена разработка Mailion, «МойОфис Почта», Squadus и «Документы Онлайн». Основной фокус теперь сделан на текстовом редакторе, таблицах и презентациях.

По данным профсоюза, с конца марта численность сотрудников сократилась более чем в три раза — примерно с 1073 до 278 человек. В НОТ подтверждают завершение сокращений, но заявляют, что оставшейся команды будет достаточно для дальнейшей разработки ключевых продуктов.

Пока крупнейшими заказчиками «МойОфис» остаются «Росатом» и ВТБ, однако компании явно предстоит доказать рынку, что ставка только на офисный пакет позволит вернуть бизнес к окупаемости.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!