Ameaça no Microsoft Teams: como ataques de falso suporte técnico instalam malwares
Criminosos estão se passando por suporte técnico no Microsoft Teams para convencer usuários a instalar malwares. Entenda como o golpe funciona e como proteger sua operação.
O novo vetor de ataque: suporte técnico falso no Teams
A segurança de uma operação técnica não depende apenas de firewalls robustos ou criptografia de ponta; o elo mais fraco continua sendo a engenharia social. Pesquisadores da Unit 42, da Palo Alto Networks, identificaram uma campanha ativa onde atacantes utilizam o Microsoft Teams para se passar por equipes de TI e persuadir funcionários a instalar malwares de acesso remoto.
O modus operandi é direto e perigoso: as vítimas recebem um e-mail de phishing disfarçado de pesquisa interna. Logo em seguida, um contato via Teams — muitas vezes identificado como um usuário externo sem relação de confiança — inicia uma chamada de voz ou chat, alegando ser do suporte técnico, para conduzir a instalação de ferramentas de controle remoto como AnyDesk ou HopToDesk.
Como o malware EtherRAT compromete sua infraestrutura
Uma vez que o acesso remoto é concedido, o atacante executa um pacote MSI que instala o EtherRAT. Este trojan de acesso remoto (RAT), escrito em Node.js, é multiplataforma (Windows, Linux e macOS) e oferece controle total ao invasor: execução de comandos, exfiltração de dados e manipulação de arquivos.
Um detalhe técnico importante: o malware não possui um servidor de comando e controle (C2) fixo. Ele busca o endereço do servidor em um contrato inteligente na rede Ethereum, mantendo um domínio tradicional como backup. Isso torna o bloqueio via DNS muito mais complexo para as equipes de infraestrutura.
Sinais de alerta e evidências forenses
Para quem atua em operações de TI, identificar a intrusão precocemente é essencial. A Unit 42 destacou que o Teams gera artefatos de log durante sessões de controle remoto, especificamente arquivos que iniciam com CtrlVirtualCursorWin_*. Se esses arquivos aparecerem em uma estação de trabalho sem uma solicitação legítima de suporte, é um indicador claro de comprometimento.
Além disso, o log do Teams exibe o título 'System Administrator (External unfamiliar)', um aviso claro de que a conexão vem de fora da sua organização. Protocolos de segurança devem ser revistos para garantir que:
- Nenhum suporte externo seja aceito sem validação prévia via canal oficial.
- Ferramentas de acesso remoto não sejam instaladas por solicitação de chat.
- Políticas de MFA opcional sejam eliminadas, reforçando o controle de acesso.
Proteção operacional em ambientes colaborativos
A automação e a agilidade são fundamentais, mas não podem atropelar a governança. Como discutido em estratégias de governança, a TI precisa manter o controle dos fluxos de permissão. Se a sua equipe ainda lida com processos manuais ou falta de centralização na gestão de acessos e tarefas, o risco de erros humanos aumenta drasticamente.
Plataformas como a Orqueza ajudam a centralizar a operação, permitindo que processos de suporte e gestão de projetos sigam fluxos padronizados e auditáveis, minimizando brechas para engenharia social. Manter a operação em um só lugar não é apenas eficiência, é segurança.
Fonte: theregister.com
Cansado de planilhas e ferramentas soltas?
Centralize clientes, projetos, CRM, financeiro e equipe em uma só plataforma. Comece grátis em 2 minutos, sem cartão.
Criar conta grátis →