Pesquisadores da Permiso identificaram uma campanha sofisticada em que criminosos utilizam o Microsoft Teams para distribuir malware baseado em PowerShell e assumir o controle de sistemas Windows. Os atacantes se passam por equipes de suporte interno em conversas do Teams, induzindo funcionários a conceder acesso remoto.
As contas usadas nas campanhas são criadas ou comprometidas para parecer legítimas, exibindo nomes como “IT SUPPORT” ou “Help Desk Specialist”. Os golpistas exploram a confiança natural depositada em mensagens internas e persuadem as vítimas a instalar softwares de acesso remoto como QuickAssist ou AnyDesk, alegando manutenção rotineira. A partir desse ponto, conseguem estabelecer uma presença direta na máquina e na rede corporativa.
Uma vez obtido o acesso, os invasores executam comandos PowerShell que baixam cargas maliciosas com múltiplas funcionalidades, incluindo roubo de credenciais, persistência e execução remota de código. O malware utiliza técnicas para dificultar a remoção, como marcar seus processos como “críticos” e exibir janelas falsas de login do Windows para capturar senhas. Pesquisas apontam que os ataques estão ligados ao grupo Water Gamayun (EncryptHub), conhecido por combinar engenharia social e malware personalizado.
Entre as ameaças observadas estão os loaders DarkGate e Matanbuchus. Para reforçar a fraude, os atacantes usam domínios vinculados ao serviço onmicrosoft.com e ainda incorporam ícones de verificação em seus perfis. A análise também revelou chaves de criptografia codificadas que confirmam a associação com campanhas anteriores do mesmo grupo.
A Permiso recomenda que empresas reforcem a conscientização de seus funcionários para validar solicitações por canais oficiais e evitem conceder acesso remoto ou compartilhar credenciais sem confirmação independente. Medidas de defesa em profundidade são essenciais para mitigar riscos em plataformas de colaboração corporativa.
