Microsoft Teams

Pesquisadores em cibersegurança alertaram sobre um ataque cibernético que utiliza a ferramenta de monitoramento e forense digital de código aberto chamada Velociraptor. Os atacantes empregaram essa ferramenta para baixar e executar o Visual Studio Code, possivelmente com a intenção de criar um túnel para um servidor de comando e controle (C2) controlado por eles. O uso do Velociraptor representa uma evolução tática, onde programas de resposta a incidentes são utilizados para obter acesso e reduzir a necessidade de implantar malware próprio. A análise revelou que os atacantes usaram o utilitário msiexec do Windows para baixar um instalador MSI de um domínio da Cloudflare, que serve como base para outras ferramentas, incluindo um utilitário de administração remota. Além disso, a Sophos recomenda que as organizações monitorem o uso não autorizado do Velociraptor, pois isso pode ser um precursor de ataques de ransomware. O artigo também menciona campanhas maliciosas que exploram o Microsoft Teams para acesso inicial, refletindo um padrão crescente de uso de plataformas confiáveis para a implantação de malware. Os ataques se disfarçam como assistência técnica, dificultando a detecção. A situação é preocupante, pois os atacantes estão cada vez mais sofisticados em suas abordagens, utilizando técnicas que burlam as defesas tradicionais.

Um novo vetor de ataque cibernético tem se destacado, onde hackers estão se passando por pessoal de suporte técnico no Microsoft Teams para roubar o controle de tela dos usuários. Este tipo de phishing, que antes era restrito a e-mails, agora se aproveita das configurações padrão de comunicação externa do Teams, permitindo que os atacantes se façam passar por funcionários de TI. Com a crescente adoção do trabalho remoto, muitas organizações mantêm as mensagens e chamadas externas habilitadas por padrão, o que facilita a intrusão. Os atacantes podem iniciar chats ou chamadas de voz, muitas vezes contornando avisos de segurança que aparecem brevemente antes de desaparecerem. Além disso, eles têm utilizado técnicas para compartilhar arquivos maliciosos disfarçados como documentos legítimos, complicando a detecção. Para mitigar esses riscos, as equipes de operações de segurança (SOCs) devem monitorar domínios externos suspeitos e padrões de nomes que imitam o suporte técnico, além de implementar estratégias de detecção e resposta rápidas. A conscientização dos usuários sobre as táticas de impersonação é crucial para fortalecer a segurança nas comunicações corporativas.

Na manhã de quinta-feira, 28 de agosto de 2025, usuários do Microsoft Teams em todo o mundo enfrentaram uma interrupção significativa no serviço, com documentos do Microsoft Office incorporados não carregando na plataforma de colaboração. O problema começou a ser relatado às 06:00 UTC, afetando tanto usuários corporativos quanto individuais que não conseguiam abrir arquivos do Word, Excel e PowerPoint diretamente em canais e chats do Teams. A Microsoft reconheceu oficialmente o problema sob o ID de incidente TM1143347, que está sendo investigado. Os usuários afetados se deparam com um carregamento contínuo, mensagens de erro ou telas em branco ao tentar acessar os documentos. A análise preliminar sugere que uma má configuração na pipeline de processamento de documentos dentro do Azure Functions está causando falhas nas chamadas da API ‘GetEmbeddedFile’ para o SharePoint Online e OneDrive for Business. Enquanto a equipe de engenharia trabalha em uma solução permanente, recomenda-se que os administradores de TI utilizem alternativas temporárias, como abrir os arquivos no navegador ou no aplicativo de desktop, para mitigar a perda de produtividade até que a situação seja normalizada.