Atores de ameaças abusam de chamadas do Microsoft Teams para instalar malware
A Palo Alto Networks, através da sua unidade Unit 42, revelou uma nova campanha de ciberataques que explora chamadas de voz do Microsoft Teams. Os atacantes se passam por funcionários de suporte técnico para induzir colaboradores a instalar o malware EtherRAT, que concede acesso remoto a redes corporativas. O ataque começa com um e-mail de phishing disfarçado de ‘Pesquisa de Funcionários’, contendo um PDF malicioso. Após abrir o documento, a vítima recebe uma chamada de voz do Teams de uma conta externa que se faz passar por um ‘Administrador de Sistema’. Os pesquisadores notaram que a sessão do Teams exibia o rótulo ‘Externo desconhecido’, indicando que o chamador pertencia a um locatário diferente do Microsoft 365. Após convencer a vítima a conceder controle remoto, o atacante orienta a instalação de ferramentas legítimas de acesso remoto, como HopToDesk e AnyDesk, antes de baixar e executar um instalador MSI malicioso que carrega o EtherRAT. Este trojan de acesso remoto, escrito em Node.js, permite que os atacantes executem comandos, manipulem arquivos e roubem dados. A campanha destaca a crescente preocupação com a segurança do Microsoft Teams, levando a empresa a implementar novas proteções contra ataques de phishing e vishing.
