Descoberta e escopo / O que mudou agora
Pesquisadores do SpiderLabs relataram uma campanha de vishing que combina chamadas via Microsoft Teams com o uso do utilitário legítimo QuickAssist (suporte remoto do Windows) para obter acesso e implantar um malware .NET capaz de execução em memória.
Vetor e exploração / Mitigações
O ataque começa com uma chamada Teams de conta externa usando display name falsificado para se passar por administrador interno. O atacante convence a vítima a abrir o QuickAssist, estabelecendo uma sessão de suporte remoto nativa do Windows — tática que evita alertas típicos disparados por soluções de segurança que monitoram softwares de terceiros.
Após ganhar controle, a cadeia de ataque segue com redirecionamento a um domínio malicioso (ciscocyber[.]com) e entrega de um arquivo disfarçado de atualizador chamado updater.exe. O componente loader.dll embutido conecta-se a um C2 (jysync[.]info) para obter chaves e baixar um payload cifrado. A montagem final usa AES-CBC combinado com operações XOR para descriptografar um assembly que é carregado diretamente em memória via reflexão .NET — sem escrita em disco.
Mitigações apontadas incluem reforço de treinamentos anti-phishing e políticas que restrinjam o uso de ferramentas de suporte remoto nativas sem verificação. Controles técnicos recomendados são: bloqueio de domínios e indicadores conhecidos, segmentação de rede para isolar estações, monitoramento de conexões de QuickAssist e aplicação de restrições de execução e assinaturas para binários baixados.
Impacto e alcance / Setores afetados
O principal risco dessa técnica é a dependência de engenharia social em vez da exploração de vulnerabilidades, o que amplia o escopo: qualquer organização que use Teams e permita QuickAssist pode ser alvo. A execução em memória reduz artefatos no endpoint, dificultando rastreamento e resposta forense.
Setores com suporte remoto frequente (TI, operações remotas, empresas com helpdesk centralizado) estão particularmente expostos. A cadeia descrita permite persistência, movimentação lateral e exfiltração com baixo ruído, caso o atacante alcance credenciais ou sessões autenticadas.
Limites das informações / O que falta saber
O relatório descreve o fluxo técnico e domínios associados, mas não divulga indicadores de compromisso (IoCs) completos, samples ou assinaturas em bases públicas no momento da publicação. Também não há confirmação de quantas vítimas já foram comprometidas pelo vetor divulgado.
Repercussão / Próximos passos
Equipes de segurança devem atualizar playbooks de resposta para considerar abuso de ferramentas nativas de suporte como vetor de invasão e incluir detecção de padrões de QuickAssist e comportamento pós-suporte. Operaçõess de SOC devem buscar conexões a jysync[.]info e ciscocyber[.]com em logs de rede e EDR, além de reforçar autenticação multifator e revisão de sessões remotas iniciadas por suporte.
Fonte e análise técnica foram publicadas pelo Cyber Security News com referência a descobertas do SpiderLabs; administradores devem acompanhar atualizações públicas para IoCs e eventuais assinaturas disponibilizadas por fornecedores de segurança.