Você já imaginou receber uma ligação no Teams de alguém se passando pelo suporte técnico? Parece inofensivo, mas pode ser um golpe devastador. Duas campanhas de ransomware estão usando o Microsoft Teams para infectar organizações e roubar dados, e a estratégia deles é assustadoramente eficaz.
Ataques sofisticados via Microsoft Teams
Pesquisadores de segurança descobriram duas campanhas de ransomware, chamadas STAC5143 e STAC5777, que exploram uma configuração padrão do Teams. Essa configuração permite que usuários externos iniciem reuniões ou bate-papos com usuários internos. Os criminosos aproveitam essa brecha para enganar as vítimas.
STAC5777: Ligação com o Black Basta
A campanha STAC5777 tem conexões com um grupo que já foi visto usando o Microsoft Quick Assist para implantar o ransomware Black Basta. Os criminosos enviam e-mails em massa como isca, seguido de uma ligação no Teams. Na ligação, eles se passam pelo suporte técnico e convencem a vítima a conceder acesso remoto ao seu computador.
STAC5143: Possíveis laços com o FIN7
Já a campanha STAC5143 pode ter ligações com o grupo FIN7, conhecido por seus ataques altamente sofisticados. A estratégia é semelhante: uma enxurrada de e-mails spam seguida de uma ligação no Teams, onde os criminosos pedem acesso remoto ao computador da vítima.
Embora haja similaridades com ataques do FIN7, a STAC5143 mira empresas menores e de setores diferentes. O malware usado é parecido, mas a cadeia de ataque é única.
Da inundação de e-mails à invasão do dispositivo
Vamos entender como acontece o ataque da STAC5143. Primeiro, a vítima recebe milhares de e-mails spam em minutos. Depois, uma ligação no Teams de um falso “gerente de suporte técnico”.
Após o acesso remoto, os criminosos instalam um arquivo .jar com código Java. Esse código executa comandos PowerShell, baixa e descompacta arquivos, incluindo um executável ProtonVPN e uma DLL maliciosa (nethost.dll).
O ProtonVPN é usado para carregar a DLL maliciosa. Os atacantes se conectam a servidores virtuais privados (VPNs) na Rússia, Holanda e EUA. Ao mesmo tempo, o código Java coleta informações do sistema da vítima e instala um backdoor Python baseado em um proxy SOCKS público, similar ao usado pelo FIN7.
STAC5777: Ataque direto e instalação do Black Basta
A STAC5777 também começa com uma enxurrada de e-mails spam. Mas, diferente da STAC5143, os criminosos utilizam mais ações manuais e comandos escritos diretamente para controlar o dispositivo. Isso envolve induzir a vítima a instalar o Quick Assist.
Após o acesso, eles baixam uma DLL maliciosa (winhttp.dll) para coletar dados e credenciais. Coletam senhas de documentos com a palavra “senha” no nome e tentam se mover lateralmente para outros computadores na rede. Em um caso, a STAC5777 tentou instalar o ransomware Black Basta.
Em resumo, ambas as campanhas são exemplos de ataques sofisticados que abusam da confiança e da conveniência das ferramentas digitais. A combinação de engenharia social com malware avançado torna esses ataques extremamente perigosos.
Compartilhe suas experiências e dicas de segurança para nos ajudar a combater esse tipo de ameaça!
