Campanha de phishing no Microsoft Teams instala novo malware

Investigadores da empresa de cibersegurança BlueVoyant identificaram uma campanha de phishing que utiliza o Microsoft Teams para comprometer sistemas empresariais através de engenharia social e acesso remoto.

Os atacantes começam por inundar os emails das vítimas com mensagens de spam. Pouco depois, contactam os funcionários através do Microsoft Teams, fazendo-se passar por membros da equipa de suporte técnico da organização e oferecendo ajuda para resolver o problema.

Durante a interação, os atacantes convencem as vítimas a iniciar uma sessão de Quick Assist, a ferramenta de assistência remota integrada no Windows. Este acesso remoto permite-lhes instalar um conjunto de ferramentas maliciosas no sistema da vítima.

Entre os ficheiros utilizados estão instaladores MSI digitalmente assinados, alojados numa conta pessoal de armazenamento cloud da Microsoft. Estes ficheiros fazem-se passar por componentes legítimos do Microsoft Teams ou pelo CrossDeviceService, um serviço do Windows utilizado pela aplicação Phone Link.

A campanha utiliza a técnica de DLL sideloading, recorrendo a binários legítimos da Microsoft para carregar uma biblioteca maliciosa denominada hostfxr[.]dll. Esta biblioteca contém dados comprimidos ou encriptados que, após serem carregados em memória, são descodificados em shellcode responsável por iniciar o malware.

Segundo os investigadores, o código malicioso cria múltiplas threads através da função CreateThread, uma técnica que pode provocar falhas em ferramentas de análise e dificultar a investigação do ataque.

Após a execução, o shellcode verifica se está a ser executado em ambientes de análise e cria uma chave derivada de SHA-256, utilizada para extrair o payload final: o A0Backdoor, encriptado com o algoritmo AES.

O malware instala-se em memória, desencripta os seus módulos principais e utiliza várias API do Windows para recolher informações do sistema comprometido e criar um perfil do dispositivo.

A comunicação com os servidores de comando e controlo (C2) é realizada através de tráfego DNS, utilizando pedidos MX com dados codificados em subdomínios de elevada entropia. Os servidores DNS respondem com registos que contêm instruções adicionais para o malware.

Esta técnica permite ocultar o tráfego malicioso em comunicações aparentemente legítimas e contornar mecanismos de deteção que monitorizam outras formas de tunelização DNS.

De acordo com a BlueVoyant, pelo menos duas organizações foram alvo da campanha, incluindo uma instituição financeira no Canadá e uma organização global do setor da saúde.

Os investigadores acreditam, com um nível de confiança moderado a elevado, que esta operação representa uma evolução das táticas, técnicas e procedimentos associados ao grupo de ransomware BlackBasta, cuja atividade diminuiu após a divulgação de registos internos do grupo criminoso.

Apesar das semelhanças, a campanha apresenta novos elementos técnicos, incluindo o uso de instaladores MSI assinados, comunicação C2 através de registos DNS MX e o novo malware A0Backdoor, indicando uma evolução nas ferramentas e métodos utilizados pelos atacantes.