Falsos chamados de suporte de TI no Microsoft Teams espalham malware EtherRAT
7 de Julho de 2026

Threat actors estão abusando de chamadas de voz no Microsoft Teams para se passar por equipes de suporte de TI de empresas e enganar funcionários a instalar o malware EtherRAT, garantindo acesso inicial às redes corporativas.

A campanha, reportada pela Unit 42, da Palo Alto Networks, combina e-mails de phishing, chamadas de voz no Microsoft Teams, ferramentas legítimas de administração remota e um loader de malware baseado em Node.js para comprometer computadores de vítimas.

Segundo um relatório da Unit 42 publicado no GitHub, o ataque começa com um e-mail de phishing que traz um pretexto de “Pesquisa de Funcionários” e um anexo malicioso em PDF.

Pouco depois de abrir o documento, a vítima recebe uma chamada de voz no Microsoft Teams de uma conta externa que se apresenta como “Administrador de Sistema”.

Os pesquisadores observaram que a sessão no Teams exibia o rótulo “Externo desconhecido”, indicando que o chamador pertencia a outro tenant do Microsoft 365, diferente do destinatário.

Os logs de auditoria mostraram que o atacante iniciou o chat externo usando a conta [email protected][.]com enquanto fingia ser suporte de TI.

Depois de convencer a vítima a conceder controle remoto por meio do recurso de compartilhamento de tela integrado ao Microsoft Teams, o atacante a orientou a instalar ferramentas legítimas de acesso remoto, incluindo HopToDesk e AnyDesk.

Com o acesso remoto estabelecido, foi baixado e executado um instalador MSI malicioso, o v7.msi, a partir de camorreado[.]click.

O MSI funciona como um loader de malware, baixando um runtime legítimo do Node.js, descriptografando payloads incorporados e, por fim, acionando o EtherRAT.

O EtherRAT é um trojan de acesso remoto multiplataforma escrito em Node.js que dá aos atacantes controle total sobre os sistemas comprometidos.

O malware pode executar comandos, manipular arquivos, roubar dados e manter persistência, além de usar contratos inteligentes da rede Ethereum para localizar seu servidor ativo de comando e controle, o que dificulta a interrupção da operação.

O EtherRAT já havia sido usado anteriormente em ataques patrocinados por Estados que exploraram a vulnerabilidade React2Shell e, desde então, foi adotado por diversos outros threat actors.

A Unit 42 afirma ter encontrado um diretório aberto em um servidor de distribuição contendo várias versões dos instaladores do malware, da v1 à v9, o que indica que a campanha segue em desenvolvimento ativo.

A nova ofensiva acompanha uma tendência crescente de ataques que exploram o Microsoft Teams para invadir redes corporativas.

Em março, uma campanha mirou organizações dos setores financeiro e de saúde com uma enxurrada de spam nas caixas de entrada das vítimas e, em seguida, passou a contatá-las pelo Microsoft Teams, fingindo ser a equipe de TI da empresa.

As vítimas foram enganadas a iniciar sessões do Quick Assist, que acabaram levando à instalação do malware A0Backdoor, recém-documentado.

Um mês depois, a Microsoft alertou que atacantes vinham abusando cada vez mais de contas externas no Microsoft Teams para se passar por profissionais do helpdesk e convencer funcionários a conceder acesso remoto aos seus dispositivos.

Uma vez dentro da rede, os atacantes faziam reconhecimento, se moviam lateralmente para outros dispositivos e, por fim, roubavam dados.

Para ajudar na defesa contra esse tipo de ataque, a Microsoft vem adicionando novas proteções ao Teams.

No início deste ano, a empresa incluiu alertas que identificam chamadores e chats externos para proteger contra possíveis ataques de phishing e vishing.

Na semana passada, a Microsoft também lançou uma nova política de administrador do Teams que coloca automaticamente bots de terceiros suspeitos na sala de espera da reunião até que os organizadores aprovem manualmente a entrada.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...