SOC Prime Bias: Alto

29 Jun 2026 06:08 UTC

Campanha de Phishing com Tema Microsoft Teams fornece Acesso Remoto

Author Photo
SOC Prime Team linkedin icon Seguir
Campanha de Phishing com Tema Microsoft Teams fornece Acesso Remoto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha de phishing ativa usa iscas temáticas do Microsoft Teams para distribuir ferramentas legítimas de acesso remoto para acesso não autorizado. As vítimas são direcionadas para páginas de destino fraudulentas que imitam serviços de produtividade para baixar instaladores maliciosos. A operação utiliza uma estratégia de infraestrutura dupla que envolve tanto sites legítimos comprometidos quanto hospedagem em nuvem controlada por atacantes.

Investigação

A investigação identificou uma campanha com múltiplos temas que utiliza engenharia social para induzir ao download de software. A análise revelou infraestrutura consistindo em sites de pequenas empresas comprometidas e serviços dedicados hospedados no Cloudflare. As atividades pós-execução incluem integração profunda no sistema via instalação de serviços, registro de pacote de autenticação LSA e sequestro de objetos COM para acesso persistente.

Mitigação

As organizações devem implementar MFA resistente a phishing e lista de permissão de aplicativos para restringir a instalação não autorizada de software. As equipes de segurança devem monitorar criações incomuns de serviços Windows, modificações de pacotes de autenticação LSA e mudanças no registro do Modo de Segurança. O treinamento de conscientização do usuário deve se concentrar especificamente em verificar notificações inesperadas de plataformas de colaboração.

Resposta

Após a detecção, as organizações devem isolar os endpoints afetados para impedir maior movimentação lateral. Conduza uma análise forense para identificar e remover todos os mecanismos de persistência, incluindo provedores de credenciais personalizadas e objetos COM. Recomenda-se fortemente um redefinição completa de credenciais para todas as contas de usuário impactadas.

"flowchart TD step_initial_access["Acesso Inicial: T1566.002 – Phishing: Spearphishing Link via notificações do Microsoft Teams falsificadas"] step_drive_by["T1189 – Comprometimento Drive-by via página de destino fraudulenta solicitando download de instalador"] step_user_execution["Execução do Usuário: T1204.002 – Arquivo Malicioso; envolve verificações do sistema (T1497.001) e atraso de execução (T1678)"] step_execution_injection["T1055 – Injeção de Processo via registro de objeto COM e uso de Ferramentas de Acesso Remoto (T1219)"] rules_for_execution_injection("<b>Nome da Regra</b>: Comando e Controle Suspeitos por Solicitação DNS de TLD Incomum (via dns)<br/><b>ID da Regra</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistência: T1543.003 (Serviço Windows), T1547.002 (Autostart na Inicialização/Logon) e T1546.015 (Sequestro de COM)"] step_credential_access["Acesso a Credenciais: T1556 – Modificação do Processo de Autenticação para interceptar credenciais no logon"] step_initial_access –>|leva a| step_drive_by step_drive_by –>|leva a| step_user_execution step_user_execution –>|leva a| step_execution_injection step_execution_injection –>|leva a| step_persistence step_persistence –>|leva a| step_credential_access step_execution_injection -.->|detectado por| rules_for_execution_injection "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque: O adversário entrega um e-mail de phishing temático do Microsoft Teams contendo um link para um .msi Pacote malicioso. Quando o usuário executa o pacote, msiexec.exe é invocado com parâmetros projetados para instalar um backdoor oculto. Para alcançar persistência, o instalador invoca rundll32.exe para carregar uma DLL personalizada que registra um novo serviço do sistema. A linha de comando inclui especificamente a string service para imitar o comportamento descrito no relatório de inteligência de ameaças, acionando assim a regra de detecção.

  • Script de Teste de Regressão:

    # Script de simulação para acionar a regra de detecção
    # Objetivo: Executar msiexec ou rundll32 com 'service' na linha de comando
    
    Write-Host "[+] Iniciando Simulação: Acionando Detecção de Serviço MSI/Rundll32" -ForegroundColor Cyan
    
    # Cenário 1: Acionar via msiexec.exe
    Write-Host "[+] Cenário 1: Executando msiexec com a palavra-chave 'service'..." -ForegroundColor Yellow
    Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait
    
    # Cenário 2: Acionar via rundll32.exe
    Write-Host "[+] Cenário 2: Executando rundll32.exe com a palavra-chave 'service'..." -ForegroundColor Yellow
    Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait
    
    Write-Host "[+] Simulação Completa." -ForegroundColor Green
  • Comandos de Limpeza:

    # Nenhuma alteração permanente foi feita pelo script de simulação, pois utilizou binários de sistema existentes
    # e argumentos não destrutivos. Nenhuma limpeza é necessária.
    Write-Host "[+] Limpeza: Nenhum artefato criado." -ForegroundColor Cyan