Threats
Grupos de cibercriminosos estão a utilizar o Microsoft Teams para enganar utilizadores e comprometes redes das empresas
23/01/2025
Dois grupos de cibercriminosos foram identificados a explorar configurações padrão do Microsoft 365 e Teams para iniciar conversas fraudulentas com utilizadores internos, alertou a Sophos. Os grupos, rastreados como STAC5143 e STAC5777, criaram contas no Microsoft 365 para lançar ataques desde novembro de 2024 com o objetivo de comprometer organizações através da implementação de ransomware e com o objetivo de furtar de dados. Segundo a investigação, os atacantes aproveitam uma configuração que permite iniciar conversas e reuniões com utilizadores internos e fazem-se passar pelo suporte técnico. Desta forma, os cibercriminosos usam ferramentas legítimas da Microsoft para assumir o controlo dos computadores dos utilizadores. O grupo STAC5143, por exemplo, inicia os ataques com um grande volume de mensagens de spam, seguido por chamadas no Teams de uma conta identificada como ‘Help Desk Manager’. Durante a conversa, os invasores solicitam controlo remoto do ecrã e executam malware no sistema. Após os invasores executarem comandos PowerShell para encontrar um ficheiro executável do ProtonVPN e uma DLL maliciosa para sideload, implemental um malware em Python que leva à instalação de backdoors e à execução de vários comandos para reconhecimento de utilizadores e redes. Já o STAC5777, segue um método semelhante: finge ser um membro da equipa de IT e envia mensagens de spam para convencer os utilizadores a conceder acesso remoto através do Microsoft Quick Assist. Nos ataques documentados, os cibercriminosos descarregam um ficheiro que permite a execução de comandos legítimos da Microsoft juntamente com DLL maliciosas para recolher credenciais de utilizadores e outras informações sensíveis. Em alguns casos, conseguiram mover-se lateralmente na rede, visualizar diagramas de infraestrutura e, num atacante, tentaram executar o ransomware Black Basta. “As organizações devem aumentar a conscientização dos colaboradores sobre esse tipo de táticas – que não são geralmente são abordadas em formações anti-phishing. Os colaboradores devem estar cientes de quem é a sua verdadeira equipa de suporte técnico e estar atentos a táticas destinadas a criar um sentido de urgência do qual dependem estes ataques baseados em engenharia social”, observa a Sophos. |