O grupo iraniano MuddyWater foi vinculado a uma nova campanha de ciberataques que aproveita o Microsoft Teams como vetor de entrada. Os atacantes se passam por suporte técnico da Microsoft para contatar suas vítimas, solicitando acesso remoto ou instalação de software malicioso. Uma vez dentro, roubam credenciais e dados sensíveis, e implantam um ransomware falso para desviar a atenção.
Técnica de suplantação e ferramentas de acesso remoto 🛠️
Os atacantes iniciam a conversa no Teams simulando ser pessoal de suporte técnico, argumentando problemas de segurança urgentes. Sob esse pretexto, solicitam à vítima que instale ferramentas legítimas como ScreenConnect ou AnyDesk. Uma vez com controle remoto, os atacantes extraem credenciais armazenadas no sistema e dados de aplicações corporativas. Finalmente, implantam um ransomware que não criptografa arquivos, mas apenas simula o ataque para ocultar o roubo real de informações.
O ransomware falso: um clássico para jogar a culpa em outro 😅
O melhor de tudo é que, após roubar suas credenciais e dados, os atacantes têm a cortesia de deixar um ransomware falso para que você pense que foi um ataque genérico e não uma intrusão direcionada. É como se um ladrão entrasse na sua casa, levasse o cofre, e antes de sair deixasse um bilhete dizendo foi o vizinho. Ainda bem que pelo menos se deram ao trabalho de simular a criptografia, embora seus arquivos estejam intactos e sua conta do Teams já esteja à venda na dark web.