A operação de ransomware Black Basta começou a utilizar o Microsoft Teams em ataques de engenharia social, disfarçando-se como equipes de suporte de TI corporativas para auxiliar funcionários com problemas de spam.
Ativo desde abril de 2022, o Black Basta tem sido responsável por centenas de ataques a empresas em todo o mundo. Após o encerramento do grupo de cibercrime Conti em junho de 2022, alguns de seus membros se dividiram em novas operações, incluindo o Black Basta.
Os integrantes do Black Basta invadem redes de várias formas, utilizando vulnerabilidades, parceria com botnets de malware e engenharia social. Em uma campanha recente, funcionários das empresas alvo receberam milhares de e-mails inofensivos, como newsletters e confirmações de cadastro, que rapidamente lotavam suas caixas de entrada. Em seguida, os invasores ligavam para os funcionários, fingindo ser o suporte de TI da empresa, oferecendo ajuda para resolver o problema de spam.
Durante essa abordagem, os criminosos convencem os funcionários a instalar a ferramenta de suporte remoto AnyDesk ou a fornecer acesso remoto via Windows Quick Assist. Com esse acesso, eles instalam ferramentas como ScreenConnect, NetSupport Manager e Cobalt Strike para manter o controle dos dispositivos corporativos.
Mudança para o Microsoft Teams
Um relatório da ReliaQuest observou que, em outubro, o Black Basta começou a utilizar o Microsoft Teams para ataques similares. Como antes, eles sobrecarregam a caixa de entrada de e-mails do funcionário, mas agora entram em contato pelo Teams, fingindo ser o suporte de TI para ajudar com o "problema de spam."
As contas dos invasores são criadas em locatários Entra ID com nomes como:
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
Esses usuários externos configuram seus perfis para exibir "Help Desk" no nome, com espaçamentos que reforçam a impressão de serem contas oficiais de suporte. Muitas vezes, os funcionários são colocados em um chat "OneOnOne".
Além disso, os atacantes enviam códigos QR nesses chats, que levam a domínios como qr-s1[.]com, embora seu propósito exato ainda seja desconhecido. Observou-se que esses usuários externos têm origem na Rússia, com fuso horário de Moscou.
O objetivo é novamente enganar o alvo para que instale o AnyDesk ou inicie o Quick Assist, dando acesso remoto aos invasores. Uma vez conectados, eles instalam cargas maliciosas como "AntispamAccount.exe", "AntispamUpdate.exe" e "AntispamConnectUS.exe" (este último identificado como o malware proxy SystemBC, usado anteriormente pelo Black Basta).
No final, o Cobalt Strike é instalado, concedendo acesso total ao dispositivo comprometido.
A ReliaQuest sugere que as organizações limitem a comunicação de usuários externos no Microsoft Teams e permitam apenas de domínios confiáveis, além de ativar logs, especialmente para o evento ChatCreated, a fim de identificar chats suspeitos.
Via - BC
댓글