A **Microsoft** está alertando sobre uma tendência preocupante: atores de ameaça estão abusando cada vez mais de recursos de colaboração externos do **Microsoft Teams**. Eles estão se passando por pessoal de TI ou helpdesk e alavancando ferramentas legítimas para obter acesso e se mover lateralmente dentro de redes corporativas. Esses atacantes contatam funcionários por meio de chats entre inquilinos, fingindo ser pessoal de suporte. Em seguida, manipulam usuários para fornecer assistência remota, levando, em última instância, ao roubo de dados. A Microsoft observou múltiplas intrusões seguindo uma cadeia de ataque semelhante. Esses ataques frequentemente envolvem software comercial de gerenciamento remoto, como o Quick Assist, e a utilidade **Rclone** para transferir arquivos para serviços de armazenamento em nuvem externos. A gigante da tecnologia enfatiza que a atividade maliciosa subsequente é frequentemente difícil de distinguir das operações normais devido à forte dependência de aplicativos legítimos e protocolos administrativos nativos. "Atores de ameaça estão abusando cada vez mais da colaboração externa do **Microsoft Teams** para se passar por pessoal de TI ou helpdesk e convencer os usuários a conceder acesso de assistência remota", afirmou a Microsoft. "A partir desse ponto inicial, os atacantes podem alavancar ferramentas confiáveis e protocolos administrativos nativos para se mover lateralmente pela empresa e preparar dados confidenciais para exfiltração — muitas vezes se misturando à atividade de suporte de TI rotineira ao longo do ciclo de vida da intrusão", acrescentou a empresa. ### Ataque Multi-estágio Em um relatório recente, a **Microsoft** detalhou uma cadeia de ataque de nove estágios. Ela começa com o ator de ameaça contatando o alvo por meio de um chat externo do **Teams**, fingindo ser um membro da equipe de TI da empresa e alegando a necessidade de resolver um problema de conta ou realizar uma atualização de segurança. O objetivo final é persuadir o alvo a iniciar uma sessão de suporte remoto, geralmente por meio do Quick Assist, concedendo ao atacante controle direto sobre a máquina do funcionário.  A partir daí, o atacante realiza reconhecimento rápido usando o Prompt de Comando e o PowerShell, avaliando privilégios, associação de domínio e alcançabilidade da rede para avaliar o potencial de movimento lateral. Em seguida, eles implantam um pequeno pacote de payload em locais graváveis pelo usuário, como o ProgramData. Eles executam o código malicioso por meio de um aplicativo confiável e assinado (por exemplo, **Autodesk**, **Adobe Acrobat/Reader**, Relatório de Erros do Windows, software de prevenção contra perda de dados) via carregamento lateral de DLL. A comunicação baseada em HTTPS com o servidor de comando e controle (C2), estabelecida dessa forma, se mistura perfeitamente ao tráfego de saída normal, tornando a detecção mais desafiadora. Com a infecção estabelecida e a persistência garantida por meio de modificações no Registro do Windows, o atacante procede para abusar do Gerenciamento Remoto do Windows (WinRM) para se mover lateralmente pela rede. Isso visa sistemas ingressados no domínio e ativos de alto valor, como controladores de domínio. Em seguida, eles implantam ferramentas adicionais de software de gerenciamento remoto em sistemas alcançáveis e utilizam **Rclone** ou ferramentas semelhantes para coletar e exfiltrar dados confidenciais para pontos de armazenamento em nuvem externos.  A Microsoft observa que essa etapa de exfiltração é altamente direcionada, empregando filtros para focar exclusivamente em informações valiosas, reduzir o volume de transferência e aumentar a discrição operacional. A Microsoft exorta os usuários a tratar contatos externos do **Teams** como não confiáveis por padrão. A empresa também recomenda que os administradores restrinjam ou monitorem de perto as ferramentas de assistência remota e limitem o uso do WinRM a sistemas controlados. Além disso, a empresa destaca os avisos de segurança do **Teams** que sinalizam explicitamente comunicações de indivíduos fora da organização e potenciais tentativas de phishing.