Descoberta e escopo
Ataques direcionados a funcionários de organizações financeiras e de saúde têm sido reportados, utilizando o Microsoft Teams como vetor inicial. Os criminosos entram em contato com os colaboradores, persuadindo-os a conceder acesso remoto através da ferramenta legítima Quick Assist, para então implantar um novo malware denominado A0Backdoor.
A campanha explora a confiança em ferramentas de suporte técnico, contornando defesas tradicionais de segurança perimetral ao utilizar canais de comunicação corporativos legítimos.
Vetor e exploração
O ataque inicia-se com uma mensagem no Microsoft Teams, onde o atacante se faz passar por um colega ou suporte técnico. A vítima é induzida a aceitar uma sessão de controle remoto via Quick Assist. Uma vez concedido o acesso, o malware é baixado e executado localmente.
A técnica de uso de ferramentas legítimas (Living off the Land) dificulta a detecção por soluções baseadas em assinatura, exigindo monitoramento comportamental avançado.
Impacto e alcance
Embora o número exato de vítimas não tenha sido divulgado publicamente, o foco em setores críticos como o financeiro e o de saúde indica um alto potencial de impacto financeiro e de privacidade de dados sensíveis.
A natureza do malware, um backdoor, sugere que o objetivo é manter acesso persistente para roubo de dados ou movimentação lateral na rede.
Recomendações
Organizações devem revisar as políticas de uso do Quick Assist, limitando o acesso remoto a sessões pré-aprovadas e monitorando sessões ativas. A conscientização de usuários sobre solicitações de acesso remoto não solicitadas é fundamental.