Image by fptsmartcloud, from Pxhere
Hackers Aproveitam o Microsoft Teams Para Implementar Malware
Tempo de leitura: 3 minuto
Postado em Dez 19, 2024
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Uma recente violação de cibersegurança revelou como um ataque de engenharia social, aproveitando o phishing por voz (vishing) através do Microsoft Teams, permitiu que um ator mal-intencionado implantasse o malware DarkGate no sistema de uma vítima.
Com pressa? Aqui estão os Fatos Rápidos!
- Voz de phishing através do Microsoft Teams levou ao lançamento do malware DarkGate.
- Vítima convencida a baixar o AnyDesk após falha na instalação do Microsoft Remote Support.
- O atacante obteve acesso ao sistema convencendo a vítima a inserir suas credenciais.
O ataque, analisado pela Equipe de Detecção e Resposta Gerenciada da Trend Micro (MDR), destaca a natureza evolutiva das ameaças cibernéticas e a necessidade crítica de estratégias de defesa robustas. O ataque começou quando a vítima recebeu vários milhares de e-mails antes de um invasor se passar por um representante do cliente através do Microsoft Teams.
A impostora instruiu a vítima a baixar o aplicativo Microsoft Remote Support, mas após essa tentativa de instalação falhar, o atacante conseguiu convencer a vítima a baixar o AnyDesk, uma ferramenta legítima de área de trabalho remota.
O atacante então guiou a vítima para inserir suas credenciais, concedendo acesso não autorizado ao sistema.
Uma vez dentro do sistema, o invasor deixou vários arquivos suspeitos, um dos quais foi identificado como Trojan.AutoIt.DARKGATE.D, iniciando uma série de comandos. Isso levou à conexão com um possível servidor de comando e controle (C&C), permitindo ao invasor executar novas ações maliciosas.
Embora o ataque tenha sido interrompido antes que qualquer exfiltração de dados ocorresse, ele ressaltou várias vulnerabilidades no gerenciamento de acesso remoto e táticas de engenharia social.
O atacante utilizou scripts AutoIt para obter controle remoto da máquina da vítima, executando comandos para coletar informações do sistema e estabelecer uma presença mais persistente.
Notavelmente, o processo AutoIt3.exe executou uma série de comandos que baixaram malware adicional, incluindo scripts que tentaram se conectar a IPs externos. O malware foi projetado para evitar detecção, buscando por produtos antivírus e criando vários arquivos aleatórios para obscurecer sua presença.
O objetivo final do ataque parecia ser a instalação de um payload final do DarkGate. Esse payload teria permitido ao invasor controlar o sistema da vítima e potencialmente exfiltrar dados sensíveis. No entanto, o ataque foi detectado a tempo, impedindo que o invasor alcançasse seu objetivo.
Para se defender contra tais ataques, os especialistas recomendam que as organizações avaliem cuidadosamente os provedores de suporte técnico de terceiros. Ferramentas de acesso remoto, como o AnyDesk, devem ser incluídas na lista de permissões e monitoradas, com autenticação de múltiplos fatores (MFA) habilitada para prevenir o acesso não autorizado.
Adicionalmente, os funcionários devem receber treinamento regular para reconhecer táticas de engenharia social e tentativas de phishing, que continuam sendo um vetor chave para ataques cibernéticos.
Artigos mais recentes 
Deixe um comentário
Cancelar