Pesquisadorores da Permiso identificam uma campanha sofisticada em que criminosos utilizam o Microsoft Teams para distribuir malware Basadoado em PowerShell e assumir o Controle de Sistemas Windows. OS Atacantes se Passam por Equipses de Suporte Interno em Conversas Do Teams, Induzindo Funcionários e conceder a Acesso Remoto.
Leia Tamboma
Nvidia Corrige Falha de Alta Gravidade No Nemo Curator
Campanha UNC6384 Mira Diplomatas com Plugx
Como contas USADAS NAS CAMPANHAS São Criadas ou Comprometidas para Parecer Legítimas, Exibindo nomes como “TI Support” Ou “Help Desk Specialist”. OS GOLPISTAS EXPLORAM A Confiança Depositada em Mensagens Internas e persuadem como Vítimas A Softwares Instalar de Acesso Remoto Quickassist OU Anydesk, Alegando Manutenção Rotineira. Um Partir Desse Ponto, consegue estabelecer Uma Presença Direta na Máquina e Na Rede Corporative.
UMA VEZ OBTIDO O ACESSO, OS Invasores Executam comandos PowerShell que Baixam cargas maliciosas com Múltiplas FuncionalIdades, inclluindo Roubo de Credenciais, persistênia e Execução Remota de Cógudigo. O malware utiliza técnicas para dificultar a remoção, como Marcar Seus Processos como “críticos” e exibir janelas falsas de login do windows para capturar senhas. Pesquisas Apontam Que os Ataques Estão Ligados Ao Grupo Grupo Gamayun (EncryptHub), Conhecido por Combinary Engenharia e Malware Social e Perlizado.
Entre como AMÁIXAS Observadas Estão OS Loaders Darkgate E Matanbuchus. Para reforvar a fraude, os atacantes USAM Domínios vinculados ao serviCo onmicrosoft.com E Ainda Incorporam Ícones de Verificante em Seus Perfis. Um tamboma análise Revelou Chaves de Criptografia codificadas que confirma uma associação com campânias anteriores do mesmo Grupo.
Um Permiso Recomenda que Empresas reforcem a conscientização de seus funcionários para Validar Solicitados por Canais Oficiais E Evitem concedeu acesse remoto ou compartilhão credenciais sem confirmação. Medidas de Defesa Em Profundidada São Essenciais Para Mitigar Riscos em Plagraformas de Colaboraça Corporativa.
