Threats

Microsoft Teams explorado por cibercriminosos para roubar dados

Grupos de cibercriminosos estão a utilizar o Microsoft Teams para enganar utilizadores e comprometes redes das empresas

23/01/2025

Microsoft Teams explorado por cibercriminosos para roubar dados

Dois grupos de cibercriminosos foram identificados a explorar configurações padrão do Microsoft 365 e Teams para iniciar conversas fraudulentas com utilizadores internos, alertou a Sophos.

Os grupos, rastreados como STAC5143 e STAC5777, criaram contas no Microsoft 365 para lançar ataques desde novembro de 2024 com o objetivo de comprometer organizações através da implementação de ransomware e com o objetivo de furtar de dados.

Segundo a investigação, os atacantes aproveitam uma configuração que permite iniciar conversas e reuniões com utilizadores internos e fazem-se passar pelo suporte técnico. Desta forma, os cibercriminosos usam ferramentas legítimas da Microsoft para assumir o controlo dos computadores dos utilizadores.

O grupo STAC5143, por exemplo, inicia os ataques com um grande volume de mensagens de spam, seguido por chamadas no Teams de uma conta identificada como ‘Help Desk Manager’. Durante a conversa, os invasores solicitam controlo remoto do ecrã e executam malware no sistema. Após os invasores executarem comandos PowerShell para encontrar um ficheiro executável do ProtonVPN e uma DLL maliciosa para sideload, implemental um malware em Python que leva à instalação de backdoors e à execução de vários comandos para reconhecimento de utilizadores e redes.

Já o STAC5777, segue um método semelhante: finge ser um membro da equipa de IT e envia mensagens de spam para convencer os utilizadores a conceder acesso remoto através do Microsoft Quick Assist.

Nos ataques documentados, os cibercriminosos descarregam um ficheiro que permite a execução de comandos legítimos da Microsoft juntamente com DLL maliciosas para recolher credenciais de utilizadores e outras informações sensíveis. Em alguns casos, conseguiram mover-se lateralmente na rede, visualizar diagramas de infraestrutura e, num atacante, tentaram executar o ransomware Black Basta.

“As organizações devem aumentar a conscientização dos colaboradores sobre esse tipo de táticas – que não são geralmente são abordadas em formações anti-phishing. Os colaboradores devem estar cientes de quem é a sua verdadeira equipa de suporte técnico e estar atentos a táticas destinadas a criar um sentido de urgência do qual dependem estes ataques baseados em engenharia social”, observa a Sophos.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº22 Fevereiro 2025

IT SECURITY Nº22 Fevereiro 2025

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.