Ataques que utilizam o Microsoft Teams para se passar por funcionários de helpdesk estão se tornando mais frequentes, segundo alerta da própria Microsoft. Os invasores enviam mensagens pelo Teams solicitando que a vítima instale uma atualização de segurança ou verifique sua conta. Após o contato inicial, os atacantes pedem que a vítima inicie uma ferramenta de suporte remoto, como o Quick Assist, obtendo assim acesso ao sistema. Em seguida, executam comandos para mapear seus privilégios e a rede. Os invasores então colocam DLLs em diretórios como ProgramData e as executam por meio de sideloading de DLL via aplicativos legítimos assinados.
Recomendações da Microsoft
A Microsoft recomenda que os usuários tratem mensagens externas do Teams como potencialmente não confiáveis e fiquem atentos aos avisos de segurança da plataforma, que indicam quando a comunicação vem de pessoas fora da organização.