O Microsoft Teams, uma plataforma de comunicação cada vez mais popular no ambiente de trabalho, está sob a mira de cibercriminosos em uma nova e preocupante campanha de phishing. Esta ação maliciosa tem o intuito de enganar os usuários, levando-os a realizar o download de um anexo que, na verdade, contém um software malicioso capaz de comprometer seriamente a segurança de seus computadores.
Mensagens enganosas no Microsoft Teams
A campanha, que teve início no mês passado, utiliza mensagens falsas que são enviadas a partir de contas comprometidas do Office 365. O conteúdo dessas mensagens é especialmente elaborado para parecer legítimo e urgente. Elas geralmente carregam um arquivo ZIP intitulado “alterações na programação de férias”, despertando curiosidade e interesse por parte dos destinatários, como relata o Techradar.
Ao clicar neste arquivo ZIP, os usuários inadvertidamente fazem o download do conteúdo de uma URL hospedada no SharePoint. Aparentemente, o arquivo que é baixado parece ser um inofensivo PDF. No entanto, na realidade, trata-se de um arquivo LNK que contém um perigoso VBScript, que atua como uma ponte direta para a instalação do malware conhecido como DarkGate.
A ameaça representada pelo DarkGate
Uma investigação detalhada realizada pela renomada empresa de segurança cibernética Truesec revelou que o processo de download utiliza o Windows cURL para buscar o código do malware. O script malicioso é pré-compilado e os elementos perigosos são habilmente ocultados no meio do arquivo, tudo isso com o objetivo de evitar detecção por softwares de segurança.
O DarkGate, por sua vez, não é uma ameaça a ser subestimada. Além de sua complexa estrutura, esse malware tem a capacidade de verificar se o popular software antivírus Sophos está instalado no dispositivo da vítima. Caso não esteja presente, o malware revela um código adicional que, por sua vez, desencadeia um shellcode. Esse shellcode é responsável por iniciar o executável do DarkGate e carregá-lo diretamente na memória do sistema, tornando a infecção ainda mais difícil de ser detectada e combatida.
Preocupações anteriores com o Teams
Este não é o primeiro episódio em que mensagens no Microsoft Teams geram preocupações relacionadas à segurança cibernética. Recentemente, foi identificada uma vulnerabilidade que permitia que mensagens de contas externas fossem recebidas nas caixas de entrada de organizações, uma situação que não deveria ocorrer. Parece que a nova campanha do DarkGate está explorando essa falha de segurança em particular.
Até o momento, a Microsoft não abordou diretamente essa falha, apenas recomendando que as organizações configurem listas de permissões no Teams, permitindo que apenas organizações externas confiáveis se comuniquem com elas, ou que desativem completamente as comunicações externas.
Histórico do DarkGate
O DarkGate é uma ameaça que já circula desde 2017, embora seu uso tenha sido restrito a um seleto grupo de cibercriminosos com alvos específicos. É uma ferramenta poderosa e versátil, capaz de roubar arquivos confidenciais, dados de navegadores, e até mesmo o conteúdo da área de transferência. Além disso, o malware possui funcionalidades de mineração de criptomoedas, keylogging (registro de teclas digitadas) e controle remoto de dispositivos, o que o torna uma ameaça multifacetada.
Protegendo-se contra ameaças
Diante deste cenário, é fundamental que os usuários estejam alertas para mensagens suspeitas no Microsoft Teams e evitem abrir qualquer anexo ou link de fontes não confiáveis. A segurança cibernética torna-se cada vez mais crucial para proteger dados pessoais e profissionais, além de garantir a integridade de dispositivos.
As organizações também devem estar vigilantes e adotar medidas de segurança robustas para evitar incidentes como este. Configurar listas de permissões no Microsoft Teams é uma estratégia recomendada para reduzir os riscos de comunicação com contas externas suspeitas.
