La sicurezza dei dati aziendali è sempre più a rischio con l’uso crescente di strumenti come Microsoft Teams. Nuove minacce combinano tecniche di ingegneria sociale, vishing e accesso remoto, costringendo le aziende a rafforzare le proprie difese contro attacchi sofisticati.

Microsoft ha introdotto notifiche di sicurezza per Quick Assist, mirate a proteggere gli utenti da truffe legate al supporto tecnico. Gli esperti consigliano di limitare o disabilitare l’uso di strumenti di accesso remoto non essenziali per prevenire compromissioni dei sistemi aziendali.

Attacco avanzato sfrutta Teams e PowerShell

Un rapporto del Cyber Defence Centre di Ontinue ha rivelato un attacco che utilizza ingegneria sociale e strumenti legittimi. Gli aggressori, fingendosi tecnici IT, hanno inviato su Microsoft Teams un comando PowerShell dannoso, convincendo le vittime a eseguirlo e a concedere accesso remoto tramite Quick Assist. Successivamente, hanno sfruttato il sideloading DLL per eseguire codice malevolo tramite un file binario firmato, utilizzando TeamViewer.exe per caricare un modulo dannoso.

Installazione di backdoor e connessioni remote

La seconda fase dell’attacco ha comportato l’installazione di una backdoor basata su JavaScript tramite Node.js, consentendo connessioni persistenti ai server di comando e controllo. Gli aggressori hanno così ottenuto la capacità di eseguire comandi da remoto senza essere facilmente individuati.

Misure di prevenzione e rilevamento

Questa catena di attacco rientra in diverse categorie del framework MITRE ATT&CK, tra cui:

T1105 – Trasferimento di strumenti malevoli

– Trasferimento di strumenti malevoli T1656 – Impersonificazione

– Impersonificazione T1219 – Utilizzo di software di accesso remoto

– Utilizzo di software di accesso remoto T1218 – Esecuzione tramite binari firmati

– Esecuzione tramite binari firmati T1197 – Abuso dei lavori BITS

Per mitigare questi rischi, le aziende dovrebbero limitare l’uso di strumenti di accesso remoto e disabilitare connessioni esterne a Microsoft Teams. È cruciale anche formare i dipendenti su tecniche di ingegneria sociale e vishing, riducendo la probabilità di cadere vittima di attacchi. La sicurezza informatica richiede vigilanza e proattività per affrontare minacce in continua evoluzione.