Hackers têm usado o
Microsoft Teams para invadir empresas com malware sofisticado. Essa prática
vem crescendo, especialmente porque o Teams é amplamente usado em ambientes
corporativos, o que o torna um vetor atrativo para ataques.
Como os ataques funcionam:
- Criação de contas falsas ou
comprometimento de contas reais: os invasores se passam
por colegas de trabalho ou parceiros.
- Envio de arquivos maliciosos via chat do
Teams: eles enviam documentos com malware disfarçado de
arquivos legítimos (como PDFs, DOCX ou arquivos ZIP).
- Engenharia social:
os atacantes usam mensagens persuasivas para convencer os usuários a abrir
os arquivos, o que ativa o malware.
- Acesso à rede corporativa:
após a infecção inicial, os criminosos podem se mover lateralmente na
rede, roubar dados confidenciais ou instalar ransomwares.
Malwares comuns usados nesses
ataques:
- Trojan Stealers
(roubo de senhas e dados financeiros)
- Keyloggers
(registro de tudo que é digitado)
- Backdoors
(acesso remoto contínuo)
- Ransomware
(sequestro e criptografia de dados)
Grupos envolvidos:
Alguns desses ataques foram
ligados a grupos de ameaças avançadas (APTs) e cibercriminosos
profissionais, que aproveitam a confiança nos aplicativos da Microsoft para
evitar detecção por antivírus e firewalls tradicionais.
Como se proteger:
- Educação e conscientização dos usuários
- Bloqueio de arquivos executáveis no Teams
- Monitoramento de comportamentos anômalos
- Autenticação multifator (MFA)
- Uso de soluções avançadas de segurança com
detecção comportamental
🛡️ Casos recentes envolvendo
Microsoft Teams como vetor de ataque
Matanbuchus 3.0 por meio de
chamadas fraudulentas no Teams
Pesquisadores da Morphisec
identificaram uma campanha iniciada em julho de 2025, onde invasores entram em
contato com funcionários via Teams, fingindo ser equipe de suporte técnico
externa. Eles convencem a vítima a usar o Quick Assist e executar um
script PowerShell que instala o malware Matanbuchus 3.0. Trata-se de um
loader avançado que atua diretamente na memória, evitando antivírus, com
funcionalidades como comunicação C2, execução de DLLs e potenciais cargas como
ransomware ou Cobalt Strike→.
Essa variante é comercializada
como malware-as-a-service, com planos mensais que variam entre US$ 10.000 a
US$ 15.000, dependendo da versão usada (HTTPS ou DNS).
BackConnect: Infecção via
Teams e Assistência Remota
Desde outubro de 2024, o BackConnect
tem sido detectado em ataques onde o Teams é usado juntamente com ferramentas
legítimas como Assistência Remota. Os invasores se passam por suporte TI,
induzindo usuários a conceder acesso e baixando arquivos maliciosos hospedados
em serviços de nuvem como OneDrive. A exploração dessas ferramentas permite
injetar DLLs e estabelecer acesso remoto persistente→Canaltech. O grupo por trás está vinculado a operações de
ransomware como Black Basta e Cactus→Canaltech+1Brasiline Tecnologia+1.
DarkGate Loader e phishing via
Teams
Em 2023, campanhas
sofisticadas lançaram o DarkGate Loader via phishing no Teams. As
mensagens traziam anexos ZIP (como “Alterações na programação de férias”) que,
ao serem abertos, instalavam malware via VBScript oculto, baixado por URLs do
SharePoint disfarçadas como PDF. O DarkGate também permite controle remoto e
roubo de dados sensíveis→Reddit+4ManageEngine Blog+4cybersecbrazil+4.
Engenharia social avançada e
domínios falsos (Black Basta e Midnight Blizzard)
Grupos como Black Basta
e o ator Midnight Blizzard intensificaram o uso do Teams para táticas de
phishing e engenharia social. Isso inclui códigos QR maliciosos, chats de
locatários falsos e compromissos de MFA para roubo de acesso. Eles
frequentemente criam domínios clonados de suporte técnico e se comunicam
diretamente via Teams para induzir vítimas a fornecer credenciais ou realizar
ações maliciosas→Canaltech+2Brasiline Tecnologia+2Security Leaders+2.
✅ Por que o Teams se tornou um vetor tão
eficaz?
|
Motivo |
Como é explorado |
|
Alta confiança corporativa |
Usuários tendem a confiar em
contatos via Teams |
|
Uso de ferramentas nativas
(LOLBins), como Quick Assist |
Permite execução de scripts
sem alertas de segurança |
|
Bypass de antivírus
tradicionais |
Malware executado na memória
e ofuscado |
|
Vulnerabilidades de
configuração externa/locatário |
Permitem envio de arquivos
de domínios aparentemente confiáveis →Reddit+15Reddit+15Security Leaders+15TecMundo+1boletimsec.com.br+1Brasiline Tecnologia+2Security Leaders+2cybersecbrazil+2CaveiraTech+4ManageEngine Blog+4Brasiline Tecnologia+4 |
🛡️ Recomendações para proteção
- Política de comunicação externa limitada
Restrinja ou bloqueie chats externos via Teams quando não forem necessários, ou limite aos domínios confiáveis→Brasiline Tecnologia. - Treinamento constante de segurança
Capacite funcionários para identificar falsos atendentes de TI, pedidos incomuns, anexos suspeitos e chats externos inesperados. - Controle rígido sobre Quick
Assist/Assistência Remota
Só permitir uso após verificação de identidade do solicitante e nunca iniciar acesso remoto por solicitação via chat não-verificado. - Autenticação multifator (MFA)
Ative MFA em todas as contas, especialmente para acessos remotos, e alerte usuários sobre possíveis prompts de autenticação falsos. - Monitoramento e análise de logs do Teams
Habilite auditoria de eventos como criação de chats externos e download de anexos via Teams. Acompanhe o ChatCreated e acessos remotos suspeitos→Security Leaders+2Brasiline Tecnologia+2Canaltech+2TecMundo+3boletimsec.com.br+3Canaltech+3Canaltech+1Security Leaders+1. - Soluções de segurança modernas
Use EDRs e ferramentas que detectem execução maliciosa em memória, scripts PowerShell suspeitos, e anomalias de comportamento →boletimsec.com.brCanaltech.
🔍 Em resumo
Sim, hackers estão usando o
Microsoft Teams como meio para invadir empresas, aproveitando engenharia
social, confiança organizacional e abuso de ferramentas legítimas (como Quick
Assist). Entre os principais malwares associados estão Matanbuchus 3.0, BackConnect,
e DarkGate, usados para instalar loaders, backdoors e ransomware via
Teams→Brasiline Tecnologia+6TechRadar+6boletimsec.com.br+6.
0 Comentários