Ransomware ATACA via Microsoft Teams
22 de Janeiro de 2025

Gangues especializadas em ransomware estão utilizando uma inovadora tática de ataque, se disfarçando de suporte técnico em chamadas pelo Microsoft Teams, após a realização de disparos de e-mails de spam.

Tal estratégia foi notada em campanhas ligadas ao ransomware Black Basta, assim como em operações que podem estar relacionadas ao grupo cibercriminoso FIN7.

Os atacantes exploram a configuração padrão do Teams, que aceita chamadas de domínios externos, com o objetivo de persuadir os colaboradores a habilitar o controle remoto do sistema e proceder com a instalação de malware.

No contexto de transações financeiras digitais, observou-se que transações suspeitas envolvendo criptomoedas alcançaram a marca de US$ 40.9 bilhões.

Paralelamente, a Microsoft tem combatido em âmbito judicial a exploração indevida de Inteligência Artificial (IA).

Em uma importante investigação realizada pela Sophos, foi identificado que os criminosos iniciaram seu esquema por meio de um intenso envio de e-mails, sucedidos por uma chamada externa via Teams de uma conta que se apresentava sob a descrição “Help Desk Manager”.

Após convencer o alvo a compartilhar a tela, o invasor efetuou a instalação de um arquivo Java (JAR) e scripts Python, facilitando o controle remoto do sistema, além de implantar malware com o objetivo de estabelecer um canal de comando e controle.

Foram observadas técnicas como a utilização de RPivot, uma ferramenta de penetração vinculada ao grupo FIN7, durante a execução do ataque.

Em um episódio diferente, a equipe denominada 'STAC5777' adotou um procedimento parecido, iniciando com o envio de spams e chamadas via Teams, porém, guiando a vítima a instalar o Microsoft Quick Assist para possibilitar acesso ao teclado.

Em seguida, procederam com o upload de malware a partir do Azure Blob Storage e aplicaram métodos visando o furto de credenciais e a espionagem da rede.

Tentativas de implementação do ransomware Black Basta sugerem uma potencial ligação com esse coletivo de hackers.

As organizações são encorajadas a adotar medidas preventivas, como o bloqueio de chamadas externas no Teams e a desativação do Quick Assist em sistemas críticos, a fim de minimizar esses riscos.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...