Phishing usa Teams na invasão de empresa

Um ataque recente revelou como cibercriminosos estão utilizando plataformas de colaboração amplamente confiáveis, como o Microsoft Teams, para enganar usuários e obter acesso a sistemas corporativos. Segundo a análise da Trend Micro, hackers iniciaram o ataque a uma empresa com uma série de e-mails de phishing direcionados a um funcionário, conseguindo convencê-lo de que representavam uma empresa parceira. Após estabelecer contato pelo Microsoft Teams, os cibercriminosos utilizaram táticas de engenharia social para manipular a vítima e levá-la a instalar uma ferramenta de suporte remoto.

Leia também
Segurança de TI ganha importância na diretorias
Mercado de malware oferece ataques a sete bancos brasileiros

Durante a interação, os invasores solicitaram inicialmente o download do Microsoft Remote Support, mas, quando o processo apresentou falhas, sugeriram o uso do AnyDesk. Assim que a ferramenta foi instalada, os criminosos obtiveram controle total do sistema da vítima. Eles aproveitaram a oportunidade para implantar arquivos maliciosos, incluindo um identificado como Trojan.AutoIt.DARKGATE.D, que permitiu a execução de comandos remotos e o envio de dados para um servidor de comando e controle (C2).

Entre as atividades realizadas pelos hackers, estavam a coleta de informações detalhadas do sistema, como hardware, software e configuração de rede, por meio de comandos como systeminfo e ipconfig. Os dados obtidos foram armazenados em arquivos para uso posterior. O malware também utilizou scripts para contornar mecanismos de defesa, identificar antivírus instalados e evitar detecção, enquanto baixava outros arquivos nocivos para diretórios ocultos. Além disso, ferramentas como o SystemCert.exe facilitaram o download de cargas adicionais, aumentando o potencial do ataque.

Apesar da gravidade das ações, o ataque foi detectado e interrompido antes que dados sensíveis fossem roubados. A investigação revelou que, embora os hackers tenham criado persistência no sistema da vítima, nenhuma exfiltração ocorreu. Ainda assim, o incidente demonstra o quanto ferramentas legítimas podem ser exploradas por criminosos para penetrar em redes corporativas e realizar atividades maliciosas.

Especialistas em segurança recomendam uma série de medidas para evitar ataques semelhantes. Entre elas, verificar a autenticidade de terceiros antes de conceder acesso remoto, restringir o uso de ferramentas como o AnyDesk e garantir a implementação de autenticação multifator. Além disso, é essencial investir no treinamento de funcionários para reconhecer táticas de engenharia social, como phishing e tentativas de fraude via chamadas. Casos como esse reforçam a importância de uma postura de segurança cibernética proativa para proteger organizações contra ameaças crescentes.