Gangues especializadas em ransomware estão utilizando uma inovadora tática de ataque, se disfarçando de suporte técnico em chamadas pelo Microsoft Teams, após a realização de disparos de e-mails de spam.
Tal estratégia foi notada em campanhas ligadas ao ransomware Black Basta, assim como em operações que podem estar relacionadas ao grupo cibercriminoso FIN7.
Os atacantes exploram a configuração padrão do Teams, que aceita chamadas de domínios externos, com o objetivo de persuadir os colaboradores a habilitar o controle remoto do sistema e proceder com a instalação de malware.
No contexto de transações financeiras digitais, observou-se que transações suspeitas envolvendo criptomoedas alcançaram a marca de US$ 40.9 bilhões.
Paralelamente, a Microsoft tem combatido em âmbito judicial a exploração indevida de Inteligência Artificial (IA).
Em uma importante investigação realizada pela Sophos, foi identificado que os criminosos iniciaram seu esquema por meio de um intenso envio de e-mails, sucedidos por uma chamada externa via Teams de uma conta que se apresentava sob a descrição “Help Desk Manager”.
Após convencer o alvo a compartilhar a tela, o invasor efetuou a instalação de um arquivo Java (JAR) e scripts Python, facilitando o controle remoto do sistema, além de implantar malware com o objetivo de estabelecer um canal de comando e controle.
Foram observadas técnicas como a utilização de RPivot, uma ferramenta de penetração vinculada ao grupo FIN7, durante a execução do ataque.
Em um episódio diferente, a equipe denominada 'STAC5777' adotou um procedimento parecido, iniciando com o envio de spams e chamadas via Teams, porém, guiando a vítima a instalar o Microsoft Quick Assist para possibilitar acesso ao teclado.
Em seguida, procederam com o upload de malware a partir do Azure Blob Storage e aplicaram métodos visando o furto de credenciais e a espionagem da rede.
Tentativas de implementação do ransomware Black Basta sugerem uma potencial ligação com esse coletivo de hackers.
As organizações são encorajadas a adotar medidas preventivas, como o bloqueio de chamadas externas no Teams e a desativação do Quick Assist em sistemas críticos, a fim de minimizar esses riscos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...