Microsoft Teams como vetor de ataque: como o tráfego legítimo esconde ameaças
Pesquisadores identificaram uma nova técnica de malware que utiliza a infraestrutura do Microsoft Teams para ocultar tráfego de comando e controle, tornando atividades maliciosas invisíveis aos monitores de rede.
O disfarce perfeito: quando o tráfego legítimo esconde malware
No cenário atual de cibersegurança, o maior desafio não é apenas bloquear o que parece suspeito, mas identificar o que se parece exatamente com o nosso dia a dia. Uma descoberta recente da Symantec revelou que operadores do ransomware DragonForce encontraram uma maneira de contornar defesas tradicionais: camuflar seu tráfego de comando e controle (C&C) dentro da infraestrutura do Microsoft Teams.
Para quem atua com operações de TI ou desenvolvimento, o alerta é claro. Em vez de se comunicar com servidores externos que disparariam alarmes em qualquer firewall, o malware, rastreado como Backdoor.Turn, utiliza os servidores legítimos da Microsoft para manter a conexão ativa. Isso significa que, para as ferramentas de monitoramento, o tráfego parece apenas uma colaboração corporativa comum.
Como o Backdoor.Turn funciona na prática
A sofisticação do ataque reside na exploração dos protocolos de comunicação do Teams e do Skype. O processo ocorre da seguinte forma:
- O backdoor solicita um token de visitante anônimo dos serviços de backend da Microsoft.
- Utiliza um servidor de retransmissão TURN da própria Microsoft para estabelecer a conexão.
- Estabelece uma conexão QUIC direta com o servidor de comando e controle dos atacantes.
Como a infraestrutura de destino é a da própria Microsoft, as defesas de rede tradicionais não detectam a exfiltração de dados. O incidente, que afetou uma grande empresa de serviços nos EUA, durou meses sem ser detectado, demonstrando como ferramentas que utilizamos para otimizar a operação podem se tornar o ponto cego da sua segurança.
O impacto nas operações de TI e Segurança
Este caso coloca em xeque a confiança cega em serviços de nuvem amplamente utilizados. Quando o tráfego de um malware é indistinguível do tráfego de um colaborador remoto, a camada de segurança baseada apenas em filtragem de domínio torna-se insuficiente.
O ransomware DragonForce, operando no modelo Ransomware-as-a-Service (RaaS), tem demonstrado uma capacidade técnica elevada, sendo vinculado ao grupo Scattered Spider. A lição aqui não é abandonar ferramentas de colaboração, mas reconhecer que a visibilidade sobre o que acontece dentro do endpoint é cada vez mais crítica, especialmente quando lidamos com falhas em ferramentas de produtividade.
O que muda na sua rotina de monitoramento?
Se a sua operação depende de nuvem, considere os seguintes pontos:
- Análise de comportamento de endpoint: Como o tráfego de rede está mascarado, a detecção precisa focar no que o processo está fazendo na máquina (instalação de backdoors, execução de scripts Go).
- Auditoria de tokens: Monitorar pedidos anônimos de tokens de serviço pode ser uma camada extra de proteção.
- Centralização de logs: Ter visibilidade unificada ajuda a correlacionar eventos que, isoladamente, parecem inofensivos.
A segurança digital exige que paremos de olhar apenas para o perímetro e comecemos a auditar o comportamento interno das aplicações. Para times que ainda gerenciam essas camadas de forma descentralizada, plataformas como a Orqueza ajudam a centralizar sua operação, garantindo que o controle de processos não se perca na complexidade das ferramentas do dia a dia.
Fonte: theregister.com
Cansado de planilhas e ferramentas soltas?
Centralize clientes, projetos, CRM, financeiro e equipe em uma só plataforma. Comece grátis em 2 minutos, sem cartão.
Criar conta grátis →Continue lendo
Três Falhas Críticas no FortiSandbox: O que Você Precisa Corrigir Agora
Três vulnerabilidades críticas no FortiSandbox estão sob exploração ativa. Saiba como mitigar riscos e garantir a conformidade da sua infraestrutura.
Falha Crítica no Microsoft Copilot: O que a Injeção de Prompt nos Ensina Sobre Segurança
Uma vulnerabilidade crítica no Copilot permitia o vazamento de dados sensíveis via injeção de prompt. Entenda como o exploit SearchLeak funcionava e por que a segurança em LLMs exige atenção redobrada na sua operação.
Google processa rede de phishing que usa IA para fraudes em massa
O Google iniciou uma ação judicial contra a 'Outsider Enterprise', rede que utiliza kits de phishing baseados em IA para aplicar golpes em larga escala. Entenda como essa ameaça opera e o que isso significa para a segurança de dados.
Google vs. Outsider Enterprise: O Que a Ação Judicial Revela sobre Scams com IA
O Google entrou com uma ação judicial contra a rede Outsider Enterprise por uso abusivo do Gemini em golpes de phishing. Entenda como essa ameaça opera e como proteger sua operação.