Il gruppo iraniano MuddyWater è stato collegato a una nuova campagna di attacchi informatici che sfrutta Microsoft Teams come vettore d'ingresso. Gli aggressori si fingono supporto tecnico di Microsoft per contattare le loro vittime, richiedendo accesso remoto o installazione di software dannoso. Una volta dentro, rubano credenziali e dati sensibili, e distribuiscono un falso ransomware per deviare l'attenzione.
Tecnica di spoofing e strumenti di accesso remoto 🛠️
Gli aggressori avviano la conversazione su Teams fingendo di essere personale di supporto tecnico, sostenendo problemi di sicurezza urgenti. Con questo pretesto, chiedono alla vittima di installare strumenti legittimi come ScreenConnect o AnyDesk. Una volta ottenuto il controllo remoto, gli aggressori estraggono credenziali memorizzate nel sistema e dati di applicazioni aziendali. Infine, distribuiscono un ransomware che non crittografa i file, ma simula solo l'attacco per nascondere il vero furto di informazioni.
Il falso ransomware: un classico per dare la colpa a qualcun altro 😅
La parte migliore è che, dopo aver rubato le tue credenziali e i tuoi dati, gli aggressori hanno la cortesia di lasciare un falso ransomware in modo che tu pensi che sia stato un attacco generico e non un'intrusione mirata. È come se un ladro entrasse in casa tua, portasse via la cassaforte e, prima di andarsene, lasciasse un biglietto che dice è stato il vicino. Meno male che almeno si sono presi la briga di simulare la crittografia, anche se i tuoi file sono intatti e il tuo account Teams è già in vendita sul dark web.