Atorres cibernéticos estão explorando a confiança que as pessoas depositam em ferramentas de trabalho cotidianas. Uma campanha de phishing recém-descoberta está usando notificações falsas do Microsoft Teams para enganar funcionários e fazê-los baixar uma ferramenta de acesso remoto que concede controle total sobre seus sistemas.
descoberta e escopo
Analistas da Cyfirma identificaram esta campanha e publicaram um relatório detalhado, revelando como os atores construíram uma operação sofisticada e de longo alcance. O que torna esta campanha distinta não são apenas as iscas convincentes, mas a infraestrutura por trás dela, uma combinação de sites legítimos comprometidos e hospedagem em nuvem controlada por atacantes que mantém a atividade sob o radar.
Os sites comprometidos pertencem a empresas reais, como cafés, escritórios de advocacia, clínicas médicas e escolas, espalhados por países como Estados Unidos, Reino Unido, Brasil, Índia e Rússia. O uso de domínios confiáveis ajuda os atacantes a contornar filtros de e-mail e avisos de navegador que, de outra forma, sinalizariam links suspeitos.
vetor e exploração
A campanha começa com uma mensagem simples, mas convincente. As vítimas recebem e-mails de phishing ou mensagens que parecem vir do Microsoft Teams, alertando-as de que uma transcrição ou gravação de reunião está pronta para download. A urgência e a familiaridade embutidas nessas mensagens são suficientes para empurrar muitos usuários a clicar sem pensar duas vezes.
Uma vez que clicam, eles são direcionados para uma página falsa estilizada para parecer exatamente como a interface real do Microsoft Teams. Ao clicar no link de download na página falsa do Teams, eles recebem um arquivo instalador do Windows assinado. Como é assinado por um fornecedor de software legítimo, as ferramentas de segurança são muito menos propensas a sinalizá-lo.
análise técnica detalhada
O arquivo instala uma ferramenta real de monitoramento e gerenciamento remoto, mas pré-configurada para se conectar a servidores de retransmissão controlados por atacantes, em vez dos legítimos. O instalador é executado silenciosamente, depositando arquivos no diretório temporário do usuário e invocando DLLs personalizadas por meio de utilitários padrão do Windows.
Ele também inclui truques para evitar pesquisadores de segurança, como verificações de dispositivos USB, detecção de depuradores e atrasos de sono estendidos projetados para superar ambientes de análise automatizados. Até que algo incomum seja sinalizado, o atacante pode já ter uma conexão de trabalho no sistema da vítima.
impacto e alcance
O que acontece após a instalação é onde o verdadeiro dano se desenrola. Os atacantes estabelecem múltiplos mecanismos de persistência para garantir que mantenham o acesso mesmo se o usuário reiniciar ou tentar remover a ferramenta. Um serviço do Windows é criado com configuração de inicialização automática, e uma entrada de registro garante que o serviço sobreviva mesmo quando o sistema inicializa no Modo de Segurança com Rede.
Além de manter o acesso, os atacantes registram uma DLL de provedor de credenciais dentro do sistema de autenticação do Windows, permitindo que capturem senhas inseridas na tela de login. Eles também se registram como um pacote de autenticação LSA, concedendo acesso profundo ao subsistema de segurança para coleta de credenciais.
medidas de mitigação recomendadas
As organizações devem focar na detecção baseada em comportamento, em vez de verificações de assinatura. O treinamento de conscientização contra phishing, especialmente em torno de iscas de plataformas de colaboração, é uma forte primeira linha de defesa. A implementação de autenticação multifator, a restrição da instalação de software a administradores e a implantação de ferramentas de detecção de endpoint são todos passos importantes.
As equipes de segurança devem monitorar novos serviços do Windows, alterações nos pacotes LSA e conexões de saída incomuns de software recém-instalado. Qualquer sistema suspeito deve passar por uma revisão forense completa e uma redefinição completa de credenciais antes de retornar ao serviço.
perguntas frequentes
Como saber se meu sistema foi comprometido? Monitore novos serviços do Windows e conexões de saída incomuns. Qual a melhor defesa? Treinamento de conscientização e autenticação multifator. Devo reiniciar o sistema? Não, isso pode destruir evidências forenses.