A Microsoft emitiu um aviso sobre o aumento de ataques informáticos onde os piratas utilizam conversas externas no Microsoft Teams para se fazerem passar por equipas de suporte técnico. O objetivo desta tática passa por enganar os funcionários e obter acesso remoto às redes empresariais para posterior roubo de informação.
Segundo os detalhes partilhados no blog de segurança da Microsoft, os atacantes recorrem a aplicações legítimas para movimentação lateral, dificultando a deteção por parte dos sistemas de defesa tradicionais.
O perigo das ferramentas de administração
A gigante tecnológica observa que a atividade maliciosa se funde com as operações normais das empresas. Ao utilizarem ferramentas comerciais de gestão remota, como o Quick Assist, e utilitários de transferência como o Rclone, os invasores conseguem extrair dados sensíveis para serviços de armazenamento na nuvem sem levantar suspeitas imediatas. A tática de usar software confiável e protocolos administrativos nativos impede que os alarmes de segurança sejam ativados na fase inicial da intrusão.
Como funciona a cadeia de ataque
O relatório descreve um processo composto por nove fases distintas. Tudo começa com uma mensagem de um contacto externo no chat, onde o atacante se apresenta como membro do departamento de informática a solicitar a resolução de um problema numa conta ou a instalação de uma atualização de segurança. Assim que a vítima aceita iniciar a sessão de suporte remoto, o invasor assume o controlo direto da máquina.
A partir desse momento, são executados comandos rápidos de reconhecimento através do Command Prompt e PowerShell para avaliar os privilégios e a rede. Em seguida, os atacantes colocam cargas maliciosas em pastas acessíveis ao utilizador e executam o código dissimulado em aplicações assinadas, como o Adobe Acrobat, Autodesk ou ferramentas do Windows Error Reporting.
Movimentação e medidas de prevenção
Após estabelecerem a comunicação com os seus servidores de comando e controlo através de tráfego HTTPS comum, os atacantes modificam os registos do sistema e utilizam o Windows Remote Management para alcançar outros equipamentos valiosos na rede, focando-se em controladores de domínio. A extração da informação é altamente direcionada, empregando filtros para recolher apenas a informação de maior valor corporativo.
Para mitigar esta ameaça, a empresa recomenda que os administradores restrinjam o uso de ferramentas de assistência remota e prestem especial atenção aos alertas de segurança da plataforma, que assinalam claramente quando uma mensagem provém de indivíduos fora da organização. Os funcionários devem também ser instruídos a tratar qualquer contacto externo não solicitado como não confiável por defeito.
Nenhum comentário
Seja o primeiro!