Uma nova onda de ciberataques está atingindo funcionários através de uma combinação de inundação de caixa de entrada e contatos falsos de suporte de TI no Microsoft Teams, enganando usuários para entregarem acesso remoto aos seus próprios dispositivos. Esses ataques vêm crescendo constantemente desde o início de 2026, e pesquisadores de segurança alertam que estão longe de desacelerar.
Como o ataque se desenrola
O ataque geralmente começa com a vítima recebendo centenas ou até milhares de e-mails indesejados em um curto período. Esta técnica, conhecida como bombardio de e-mail, cria pânico e confusão, fazendo com que o alvo sinta que algo deu muito errado com sua conta. Quando a vítima está em seu momento mais ansioso, um suposto "especialista em suporte de TI" entra em contato via Microsoft Teams, oferecendo ajuda para resolver o problema.
O contato parece legítimo, usa um nome profissional e detalhes de exibição com tema de TI, e parece saber exatamente o que está acontecendo. Isso é por design. Analistas da eSentire identificaram múltiplos casos reais de intrusão onde exatamente esse padrão se desenrolou, levando à exfiltração confirmada de dados de endpoints comprometidos.
Os pesquisadores notaram que em cada caso, os atores de ameaça se passaram por equipes de suporte de TI internas através do Microsoft Teams, entrando em contato com usuários de contas externas com nomes de exibição como "Departamento de Proteção de TI" ou "Help Desk de Segurança do Windows". Esses nomes de locatário recém-criados foram projetados para parecer o mais oficiais possível.
Ferramentas utilizadas pelos invasores
O que torna esta campanha especialmente preocupante é como ela combina pressão social com uma plataforma confiada. A maioria dos funcionários usa o Microsoft Teams diariamente e está condicionada a esperar mensagens de TI lá. Os atacantes exploram essa confiança diretamente. Uma vez que uma vítima aceita a ajuda, ela é solicitada a conceder acesso remoto através de ferramentas como Quick Assist ou AnyDesk. A partir desse ponto, o atacante tem controle total do dispositivo.
Uma vez estabelecido o acesso remoto, o verdadeiro dano começa. Em vários casos observados, os atacantes baixaram versões portáteis do WinSCP diretamente de seu site oficial e usaram a ferramenta para mover arquivos silenciosamente do sistema comprometido. O WinSCP é um aplicativo legítimo de transferência de arquivos, o que torna mais difícil sinalizar através de controles de segurança padrão.
Em um incidente separado, os atores de ameaça usaram o Quick Assist para entregar um arquivo ZIP malicioso chamado Email-Deployment-Process-System.zip na máquina alvo. O arquivo continha um binário Java que executou um aplicativo Java malicioso, seguido por roubo de dados.
Grupos de ameaça e infraestrutura
Grupos incluindo Scattered Spider, Payouts King e UNC6692 foram todos vinculados a variações desta técnica. A infraestrutura por trás desses ataques não é improvisada. A maioria das mensagens maliciosas do Teams origina-se de provedores de hospedagem à prova de balas, incluindo NKtelecom INC, WorkTitans B.V., Global Connectivity Solutions LLP e GWY IT PTY LTD.
Endereços IP únicos foram observados mirando múltiplas organizações ao mesmo tempo, apontando para operações organizadas e apoiadas por infraestrutura. De acordo com o Relatório Anual de Ameaças Cibernéticas de 2026 da eSentire, esses ataques tiveram uma taxa de sucesso de 72%, com atividade aumentando acentuadamente entre 2024 e 2025.
Medidas de mitigação e prevenção
Equipes de segurança e funcionários podem tomar várias medidas para reduzir o risco desses ataques. O Microsoft Teams deve ser configurado para restringir mensagens e chamadas de organizações externas, a menos que necessário para operações de negócios, e qualquer contato externo permitido deve ser limitado a parceiros verificados e confiados.
Políticas de colaboração externa devem incluir notificações de remetente para que os usuários saibam quando estão falando com alguém fora da organização. Ferramentas de acesso remoto como Quick Assist, AnyDesk e ConnectWise devem ser bloqueadas por política, a menos que operacionalmente necessárias. Utilitários de transferência de arquivos como WinSCP, RClone, FileZilla e MegaSync também devem ser restringidos.
Os funcionários devem ser treinados para reconhecer essas táticas e verificar qualquer solicitação inesperada de TI através de um canal secundário, como ligar para o número oficial do helpdesk, enviar um e-mail direto ou registrar um ticket através de um sistema interno.