A Microsoft identificou uma campanha sofisticada de ataques que explora o Microsoft Teams para impersonar equipes de helpdesk e obter acesso remoto a sistemas corporativos. Os atacantes aproveitam recursos legítimos de colaboração entre diferentes tenants (organizações no Azure) para estabelecer contato inicial com as vítimas, contornando controles de segurança através de engenharia social.
Anatomia do ataque cross-tenant
A campanha utiliza a funcionalidade do Teams que permite comunicação entre usuários de diferentes organizações. Os criminosos operam a partir de tenants externos, criando identidades que imitam pessoal de suporte técnico. Eles iniciam conversas com iscas como “Microsoft Security Update”, “Spam Filter Update” ou “Account Verification”, explorando a confiança natural dos usuários em comunicações aparentemente internas.
O Teams implementa várias proteções para mensagens externas: rotulagem visual indicando origem externa, prompts de Accept/Block no primeiro contato, visualizações limitadas de mensagens e indicadores de phishing. No entanto, os atacantes usam técnicas de persuasão para convencer usuários a ignorar esses avisos, argumentando urgência ou autoridade técnica.
Cadeia de ataque e movimentação lateral
Após estabelecer comunicação, os criminosos solicitam que a vítima instale o Quick Assist — ferramenta legítima de suporte remoto da Microsoft — ou aplicações similares. Com acesso interativo ao sistema, iniciam uma sequência coordenada de ações maliciosas.
A persistência é garantida através de sideloading de DLL, técnica onde aplicações legítimas e assinadas executam módulos maliciosos colocados estrategicamente em diretórios como ProgramData. Essa abordagem evita detecção por muitas soluções de segurança que confiam em assinaturas digitais válidas.
Para expandir o comprometimento, os atacantes utilizam o Windows Remote Management (WinRM), protocolo nativo do Windows para administração remota. Através do WinRM, pivotam entre sistemas no mesmo domínio Active Directory, mapeando privilégios e identificando ativos de alto valor. Controladores de domínio são alvos prioritários, pois fornecem acesso amplo à infraestrutura corporativa.
Exfiltração e indicadores de comprometimento
A fase final envolve instalação de software comercial de gerenciamento remoto adicional, criando múltiplos canais de acesso. Para exfiltração de dados, os criminosos empregam o Rclone, utilitário de linha de comando para sincronização com serviços de armazenamento em nuvem. Essa escolha permite transferências rápidas e criptografadas que se misturam ao tráfego legítimo de cloud.
O Microsoft Defender pode correlacionar telemetria para identificar padrões suspeitos, mas a natureza do ataque — usando ferramentas legítimas e protocolos autorizados — dificulta a detecção automatizada. Indicadores incluem comunicações Teams externas com temas de suporte técnico, execuções não programadas de Quick Assist, presença de DLLs em locais atípicos, atividade anômala de WinRM entre sistemas e uso de Rclone sem justificativa comercial.
Mitigações e configurações defensivas
A Microsoft recomenda configurações restritivas para o WinRM, limitando quais sistemas podem iniciar conexões e implementando autenticação forte. Organizações devem monitorar de perto o uso de ferramentas de suporte remoto, estabelecendo processos formais que incluam tickets e aprovações antes de sessões de assistência.
Fundamental é o treinamento contínuo de usuários para reconhecer tentativas de engenharia social, especialmente aquelas que criam senso de urgência ou invocam autoridade técnica. Mensagens externas no Teams devem sempre ser tratadas com ceticismo elevado, independentemente do conteúdo ou suposta origem.
A taxonomia MITRE ATT&CK classifica o vetor inicial como T1566.003 (Spearphishing via Service), refletindo o uso de plataformas de comunicação legítimas para phishing direcionado. A campanha demonstra evolução nas táticas criminosas, migrando de emails fraudulentos tradicionais para canais corporativos confiáveis, exigindo adaptação correspondente nas estratégias defensivas.