Hackers exploram chamada do Microsoft Teams para instalar ferramentas RMM e implantar o EtherRAT.
Os agentes maliciosos estão agora a usar algo tão corriqueiro como uma chamada do Microsoft Teams como arma para contornar as defesas corporativas e instalar um novo e furtivo cavalo de Troia de acesso remoto chamado EtherRAT.
A campanha combina engenharia social com software legítimo de suporte remoto, fazendo parecer uma interação rotineira de TI em vez de um ataque em andamento. As vítimas não percebem que uma simples sessão de compartilhamento de tela deu aos criminosos controle total de seus computadores.
A operação começa de forma aparentemente inocente com um e-mail de phishing contendo uma “Pesquisa de Funcionários” como isca e um anexo PDF malicioso. Assim que o arquivo é aberto, a vítima recebe uma chamada de voz inesperada do Microsoft Teams de alguém que alega ser um “Administrador de Sistemas”.
Como o chamador pertence a um locatário externo do Microsoft 365, o Teams sinaliza a interação com um rótulo “Externo desconhecido”, embora muitos usuários ignorem esse aviso no momento.
Analistas do GitHub, onde a equipe Unit 42 da Palo Alto Networks publicou suas descobertas, observaram que a conta do invasor estava vinculada a um domínio projetado para se parecer com um endereço legítimo de suporte técnico.
Esse pequeno detalhe ajudou a tornar a personificação convincente o suficiente para que as vítimas prosseguissem com a ligação.
Analistas do GitHub afirmaram em um relatório compartilhado com o Cyber Security News (CSN) que o caso destaca a facilidade com que a confiança em ferramentas de colaboração do dia a dia pode ser explorada.
Assim que a vítima responde, o atacante a persuade a ativar o recurso de compartilhamento de tela integrado ao Teams, concedendo-lhe o controle remoto do dispositivo.
A partir daí, o golpista orienta a vítima na instalação de ferramentas legítimas de acesso remoto, usando nomes de software familiares para evitar levantar suspeitas. Essa etapa é crucial, pois dá ao invasor uma vantagem inicial que se assemelha a um suporte técnico de rotina, em vez de uma intrusão.
Hackers exploram chamada do Microsoft Teams
Com o acesso remoto garantido, o atacante baixa e executa um instalador MSI malicioso que, silenciosamente, instala um ambiente de execução Node.js legítimo na máquina comprometida.
O instalador então descriptografa payloads ocultos incluídos em seu interior, eventualmente executando o próprio malware EtherRAT. Como o carregador depende de componentes de software legítimos, muitas ferramentas de endpoint têm dificuldade em sinalizar a atividade como suspeita.
EtherRAT é um trojan de acesso remoto multiplataforma construído inteiramente em Node.js, o que lhe confere flexibilidade em diferentes sistemas operacionais.
Uma vez ativo, ele pode executar comandos, mover e manipular arquivos, exfiltrar dados confidenciais e manter persistência a longo prazo no sistema infectado.
Sua característica mais incomum é o uso de contratos inteligentes Ethereum para obter o endereço de seu servidor de comando e controle, um método que torna os esforços de desativação muito mais difíceis para os defensores.
Os pesquisadores observaram que o EtherRAT tem um histórico ligado a operações patrocinadas por estados, tendo surgido anteriormente em ataques que exploraram uma vulnerabilidade crítica distinta.
Desde então, parece ter sido adotada por uma gama mais ampla de grupos criminosos, sugerindo que a ferramenta está sendo compartilhada ou vendida além de seus operadores originais.
A Unidade 42 também descobriu um diretório aberto no servidor de distribuição do atacante contendo nove versões diferentes do instalador, o que indica um desenvolvimento ativo e contínuo do malware.
Por que as chamadas falsas para o suporte técnico continuam funcionando?
Este não é um incidente isolado, visto que o Microsoft Teams tem sido alvo frequente de golpes de falsificação de identidade ao longo do último ano.
As campanhas anteriores inundavam as caixas de entrada com spam antes de contatar as vítimas por meio do Teams, fingindo ser funcionários internos de TI para disseminar diferentes famílias de malware.
A própria Microsoft alertou as organizações de que os invasores estão usando cada vez mais contas externas do Teams para se passar por funcionários do suporte técnico e obter acesso remoto.
Em resposta, a Microsoft implementou diversas medidas de proteção, incluindo avisos mais claros para chamadas e chats originados de locatários externos.
Uma política administrativa mais recente também coloca automaticamente bots suspeitos de serem de terceiros na sala de espera da reunião até que um organizador os aprove manualmente.
Recomenda-se que as equipes de segurança restrinjam a comunicação externa no Teams sempre que possível, treinem os funcionários para verificar as solicitações de TI por meio de canais separados e monitorem instalações inesperadas de software de acesso remoto, visto que essas medidas abordam diretamente as táticas observadas nesta campanha.
As organizações devem tratar qualquer chamada de suporte de TI não solicitada, especialmente uma que chegue por meio de uma plataforma de colaboração, com a mesma cautela que uma ligação telefônica inesperada de um estranho que alega ser do banco.
Verificar as solicitações por meio de um canal interno conhecido antes de conceder qualquer acesso remoto continua sendo a defesa mais simples e eficaz.
Indicadores de Compromisso (IoCs):-
| Tipo | Indicador | Descrição |
|---|---|---|
| E-mail/Conta | helpdesk@Progressive936.onmicrosoft[.]com | Conta externa do Teams usada para se passar por suporte de TI |
| Domínio | camorreado[.]clique | Servidor de distribuição que hospeda o instalador MSI malicioso |
| Arquivo | v7.msi | Instalador MSI malicioso que carrega o ambiente de execução Node.js e o payload EtherRAT. |
| Arquivo (relacionado) | v1.msi até v9.msi | Foram encontradas várias versões do instalador em um diretório de distribuição aberto, indicando desenvolvimento ativo. |
Nota: Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com` [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM .
Fonte: CyberSecurityNews
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Pessoas estão armazenando grandes volumes de dados em smartphones
- Estado do Ransomware em 2026
- CISA alerta para que correção de falhas do SharePoint
- Microsoft corrige várias falhas do RDP
- Hackers abusam de códigos OAuth e cadastro do Entra IDs
- IA amplia pressão sobre equipes de segurança e vulnerabilidades críticas dobram
- A era do dashboard perfeito acabou
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC

Be the first to comment