Pesquisadores de segurança revelaram uma nova técnica de ataque sofisticada chamada “Ghost Calls”, que explora plataformas populares de webconferência para estabelecer canais secretos de comando e controle (C2), transformando efetivamente ferramentas confiáveis de comunicação empresarial em caminhos ocultos para os cibercriminosos.
A técnica, Apresentado por Adam Crosser da Praetorian na Black Hat USA 2025, demonstra como os invasores podem abusar do protocolo TURN (Traversal Using Relays around NAT) usado pelas principais plataformas, incluindo Zoom, Microsoft Teams e Google Meet, para criar túneis furtivos para atividades maliciosas.
Explorando a infraestrutura confiável
O método Ghost Calls aproveita a confiança inerente que as empresas depositam nas soluções de webconferência.
Com a Zoom comandando 55,91% de participação de mercado e Equipes da Microsoft Com 32,29%, essas plataformas representam canais de comunicação altamente confiáveis que muitas vezes ignoram os controles de segurança tradicionais.
“As soluções de webconferência fornecem um vetor atraente para canais secretos de comando e controle de curto prazo”, explicou Crosser durante sua apresentação.
O ataque explora servidores TURN – componentes críticos de infraestrutura que ajudam a estabelecer conexões entre usuários atrás de firewalls e dispositivos NAT.
O que torna essa técnica particularmente perigosa é que muitas organizações excluem explicitamente o tráfego de webconferência da inspeção de segurança.
O Microsoft Teams e o Zoom recomendam configurações de tunelamento dividido que ignoram VPNs, e muitas políticas de segurança isentam essas plataformas da inspeção TLS para manter a qualidade da chamada.
Os pesquisadores desenvolveram o TURNt (tunelamento TURN), uma ferramenta de código aberto que demonstra as capacidades do ataque.
A ferramenta pode estabelecer encaminhamento de porta remota, encaminhamento de porta local, proxy SOCKS e comunicações C2 descentralizadas, tudo isso enquanto aparece como tráfego de conferência legítimo.
Particularmente preocupante é a persistência das credenciais TURN, que normalmente permanecem válidas por vários dias e não requerem reuniões ou instalações ativas nos sistemas das vítimas. Isso permite que os invasores mantenham o acesso mesmo após o comprometimento inicial.
O ataque apresenta desafios significativos de detecção para as equipes de segurança. O tráfego de rede parece legítimo, usando o padrão Criptografia TLS pela porta 443, tornando-a quase indistinguível da atividade genuína de webconferência.
As abordagens tradicionais de monitoramento com foco no volume de tráfego ou na correlação do processo geram muitos falsos positivos.
Em vez de tentar detectar a técnica diretamente, os pesquisadores recomendam focar em outros elementos da cadeia de ataque.
As contramedidas eficazes incluem a implantação de tokens canário para detectar tentativas de acesso não autorizado e o monitoramento de ferramentas ofensivas específicas, como Impacket ou secretsdump.py, que os invasores podem fazer proxy por meio desses canais.
A pesquisa destaca uma tendência mais ampla de invasores que exploram aplicativos de negócios confiáveis para evitar a detecção, forçando as equipes de segurança a repensar as estratégias tradicionais de defesa baseadas em perímetro em uma era de comunicações em nuvem onipresentes.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça