A operação de ransomware BlackBasta avançou suas práticas de engenharia social para o Microsoft Teams, se passando por equipes de suporte corporativo e entrando em contato com funcionários para ajudá-los com um suposto ataque de spam.
O Black Basta é uma operação de ransomware ativa desde abril de 2022, responsável por centenas de ataques contra corporações em todo o mundo.
Após o encerramento do sindicato de cibercrime Conti, em junho de 2022, sequência de uma série de vazamentos de dados vexatórios, a operação se dividiu em múltiplos grupos, sendo um deles supostamente o Black Basta.
Os membros do Black Basta invadem redes através de diversos métodos, incluindo exploração de vulnerabilidades, parcerias com botnets de malware e engenharia social.
Em maio, a Rapid7 e a ReliaQuest divulgaram alertas sobre uma nova campanha de engenharia social do Black Basta que inundava as caixas de entrada de funcionários alvo com milhares de e-mails.
Esses e-mails não eram maliciosos por natureza, consistindo na maioria das vezes em newsletters, confirmações de inscrição e verificações por e-mail, mas rapidamente sobrecarregavam a caixa de entrada do usuário.
Os atores de ameaças, então, ligavam para o funcionário sobrecarregado, se passando pelo help desk de TI da empresa para auxiliar com seus problemas de spam.
Durante esse ataque de engenharia social por voz, os atacantes enganavam a pessoa para instalar a ferramenta de suporte remoto AnyDesk ou forneciam acesso remoto aos seus dispositivos Windows, lançando o ferramenta de controle remoto e compartilhamento de tela Windows Quick Assist.
A partir daí, os atacantes executavam um script que instalava vários payloads, como ScreenConnect, NetSupport Manager e Cobalt Strike, que proporcionavam acesso remoto contínuo ao dispositivo corporativo do usuário.
Agora que o afiliado do Black Basta ganhou acesso à rede corporativa, espalhavam-se lateralmente para outros dispositivos enquanto elevavam privilégios, roubavam dados e, finalmente, implantavam o encryptor de ransomware.
Em um novo relatório da ReliaQuest, pesquisadores observaram afiliados do Black Basta evoluindo suas táticas em outubro, agora utilizando o Microsoft Teams.
Como no ataque anterior, os atores de ameaças primeiro sobrecarregam a caixa de entrada de um funcionário com e-mails.
No entanto, ao invés de ligarem, agora os atacantes contatam os funcionários através do Microsoft Teams como usuários externos, onde se passam por suporte de TI corporativo contatando o funcionário para ajudá-lo com seu problema de spam.
As contas são criadas sob locatários do Entra ID que são nomeados para parecerem ser do help desk, como:
"Esses usuários externos configuram seus perfis com um 'DisplayName' projetado para fazer o usuário alvo pensar que estava se comunicando com uma conta de help desk", explica o novo relatório da ReliaQuest.
Na quase totalidade dos casos que observamos, o nome de exibição incluía a string 'Help Desk', frequentemente rodeada por caracteres de espaço em branco, o que provavelmente visa centralizar o nome dentro do chat.
Também observamos que, tipicamente, usuários alvo eram adicionados a um chat 'OneOnOne.
A ReliaQuest diz também ter visto os atores de ameaças enviando QR codes nos chats, que levam a domínios como qr-s1[.]com.
No entanto, não puderam determinar para que esses QR codes são usados.
Os pesquisadores dizem que os usuários externos do Microsoft Teams são originários da Rússia, com os dados de fuso horário regularmente sendo de Moscou.
O objetivo é, mais uma vez, enganar o alvo para instalar o AnyDesk ou iniciar o Quick Assist, para que os atores de ameaças possam ganhar acesso remoto aos seus dispositivos.
Uma vez conectados, os atores de ameaças foram vistos instalando payloads nomeados "AntispamAccount.exe", "AntispamUpdate.exe" e "AntispamConnectUS.exe".
Outros pesquisadores sinalizaram o AntispamConnectUS.exe no VirusTotal como SystemBC, um malware proxy que o Black Basta usou no passado.
Em última análise, o Cobalt Strike é instalado, fornecendo acesso total ao dispositivo comprometido para agir como um trampolim para avançar mais para dentro da rede.
A ReliaQuest sugere que as organizações restrinjam a comunicação de usuários externos no Microsoft Teams e, se necessário, permitam apenas de domínios confiáveis.
O registro de eventos também deve ser ativado, especialmente para o evento ChatCreated, para encontrar chats suspeitos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...