Grupo hacker se passa por suporte de TI no Microsoft Teams para distribuir malware

A tática, usada pelo grupo Black Basta, envolve sobrecarregar a caixa de entrada de um funcionário com e-mails e, em seguida, entrar em contato pelo Teams como usuário externo, fingindo ser o suporte de TI para ajudar com o problema de spam. As contas são criadas em tenants do Entra ID, configuradas com “DisplayNames” projetados para parecerem legítimas, simulando um perfil de help desk. Geralmente, os alvos são adicionados a um chat “OneOnOne”, onde os invasores tentam convencer a vítima a instalar o AnyDesk ou iniciar o Quick Assist, garantindo acesso remoto ao dispositivo.

Uma vez conectados, os criminosos instalam cargas maliciosas, como “AntispamAccount.exe”, “AntispamUpdate.exe” e “AntispamConnectUS.exe”. Por fim, o Cobalt Strike é instalado, proporcionando controle total sobre o dispositivo comprometido e facilitando a expansão do ataque pela rede.

Para proteção, recomenda-se que organizações restrinjam a comunicação de usuários externos no Microsoft Teams, permitindo-a apenas de domínios confiáveis, se necessário. Além disso, é recomendado habilitar o registro de atividades, especialmente para o evento ChatCreated, para detectar conversas suspeitas.