O campanie de inginerie socială vizează angajați din organizații financiare și medicale prin imitarea personalului de suport IT pe Microsoft Teams, păcălind victimele să acorde acces la distanță care este apoi folosit pentru a distribui un malware nedocumentat anterior, numit A0Backdoor, a avertizat săptămâna aceasta compania de securitate cibernetică BlueVoyant.
Cum funcționează atacul
Campania urmează o strategie care a evoluat încă din mijlocul anului 2024. Atacatorii inundă mai întâi căsuța de e-mail a țintei cu spam, apoi contactează victima prin Microsoft Teams, pretinzând că sunt personalul IT intern de asistență tehnică și oferind să rezolve problema. Odată stabiliți la telefon, îi convinge pe angajat să deschidă Windows Quick Assist, un instrument integrat de asistență la distanță, oferindu-le practic controlul asupra mașinii.
De acolo, atacatorii instalează programe de instalare MSI semnate digital, găzduite în conturi de stocare cloud Microsoft personale. Fișierele malițioase se deghizează în componente legitime Microsoft Teams și CrossDeviceService, un instrument Windows utilizat de aplicația Phone Link. Folosind tehnica DLL sideloading cu fișiere binare Microsoft legitime, atacatorii încarcă o bibliotecă malițioasă — hostfxr.dll — care decriptează shellcode în memorie și în final extrage A0Backdoor criptat cu AES.
Backdoor-ul colectează informații despre sistemul compromis și ascunde comunicațiile cu serverul de comandă și control în interogări DNS de tip MX record trimise către rezolvoare recursive publice, o tehnică despre care BlueVoyant spune că ajută traficul să se integreze și să evite detectările configurate pentru tunelarea DNS bazată pe TXT, mai frecvent monitorizată. Malware-ul folosește și măsuri anti-analiză, inclusiv detectarea sandbox-ului, crearea excesivă de thread-uri concepută pentru a face debugger-ele să se blocheze, și decriptare la runtime care eșuează dacă mediul pare artificial.
Victime și atribuire
BlueVoyant a menționat că două ținte cunoscute includ o instituție financiară din Canada și o organizație medicală globală, deși denumirile specifice nu au fost dezvăluite. Cercetătorii evaluează cu un nivel de încredere moderat spre ridicat că această campanie reprezintă o evoluție a tacticilor asociate cu Storm-1811, un grup de amenințări motivat financiar pe care Microsoft l-a legat pentru prima dată de operațiunile ransomware Black Basta în mai 2024. Variante anterioare ale acestui mod de operare utilizau instrumente precum QakBot, Cobalt Strike și SystemBC înainte de implementarea ransomware-ului.
Black Basta a fost în mare parte inactiv începând cu începutul anului 2025, după ce o persoană care folosea pseudonimul ExploitWhispers a divulgat aproximativ 200.000 de mesaje de chat interne în februarie din acel an, expunând operațiunile grupului și accelerând fragmentarea acestuia. Descoperirile BlueVoyant sugerează că, deși Black Basta s-ar fi putut dizolva, operatorii din spatele metodelor sale inițiale de acces s-au reorganizat cu malware nou și cu o infrastructură mai discretă.
Recomandări de securitate
Microsoft a recomandat anterior ca organizațiile să blocheze sau să dezinstaleze Quick Assist acolo unde nu este necesar și să instruiască angajații să verifice identitatea oricărei persoane care solicită acces la distanță. Cercetarea BlueVoyant subliniază că aceleași tactici de inginerie socială rămân eficiente la aproape doi ani de la prima documentare — acum însoțite de instrumente concepute să fie mai greu de detectat și analizat.
Surse:
Hackers Attack Employees Over Microsoft Teams to Trick Them Into Granting Remote Access