Attacco vishing su Microsoft Teams: come i truffatori rubano l’accesso remoto

Attacco vishing su Microsoft Teams: come i truffatori rubano l’accesso remoto

Attacco vishing su Microsoft Teams: come i truffatori rubano l’accesso remoto

I malviventi stanno sfruttando Microsoft Teams per attacchi di vishing, fingendosi supporto IT e convincendo i dipendenti a concedere accesso remoto al PC aziendale. Questo tipo di truffa, nota come ingegneria sociale, è semplice ma efficace e non richiede exploit tecnici complessi. Soluzione rapida: verifica sempre l’identità del chiamante tramite canali ufficiali, non condividere mai il controllo remoto e usa tool di autenticazione a due fattori.

In un’epoca in cui il lavoro ibrido è la norma, piattaforme come Microsoft Teams sono indispensabili per la collaborazione. Purtroppo, diventano anche un vettore privilegiato per i cyberattacchi. Immagina di ricevere una chiamata improvvisa da chi sembra il tuo referente IT: ti avverte di un problema urgente sul tuo computer e ti chiede di attivare l’assistenza remota. Sembra legittimo, ma potrebbe essere una trappola. Questi attacchi, basati sul vishing (phishing vocale), stanno crescendo esponenzialmente, colpendo aziende di ogni dimensione.

Il meccanismo è subdolo: gli attaccanti bombardano le vittime con email spam per creare panico, poi chiamano via Teams impersonando figure fidate. Molti cadono nella rete, concedendo accesso tramite Quick Assist, lo strumento nativo di Windows per il supporto remoto. Una volta dentro, i truffatori installano malware e rubano credenziali. Ma non è fantascienza: casi reali dimostrano che basta un clic per compromettere intere reti aziendali.

Per i non esperti, il consiglio è chiaro: sospendi la chiamata sospetta, contatta l’IT tramite numero noto e abilita notifiche di sicurezza su Teams. Queste precauzioni possono fermare l’attacco sul nascere, proteggendo dati sensibili e privacy.

Come funziona l’attacco passo per passo

Gli aggressori iniziano con una campagna insistente. Inviano migliaia di email spam in poco tempo per simulare un guasto sistemico. Poi, da account esterni su tenant Microsoft controllati, avviano chiamate vocali o video su Teams, usando nomi come “Responsabile Help Desk”.

In aziende che usano provider esterni per l’IT, queste chiamate non destano sospetti. L’attaccante crea urgenza: “Il tuo PC è infetto, attiva Quick Assist ora!”. La vittima, convinta, genera un codice e lo condivide, permettendo il takeover remoto.

Una volta connessi, passano all’azione. Guidano l’utente su siti falsi per inserire credenziali aziendali, scaricando payload malevoli. Usano pacchetti MSI camuffati per sideload di DLL infette, sfruttando processi Windows legittimi come rundll32.exe.

Questi tool stabiliscono connessioni command-and-control silenziose, mimetizzandosi nel traffico di rete. Espandono l’accesso con loader crittografati, comandi remoti via strumenti admin standard e proxy per offuscare le tracce.

Componenti specializzati raccolgono credenziali e hijackano sessioni, mimetizzandosi nell’attività enterprise normale. L’obiettivo? Controllo persistente senza allarmi.

La risposta rapida delle difese aziendali limita i danni: analisi forensi confermano accessi brevi, senza meccanismi di persistenza o impatti su directory critiche.

Perché questi attacchi sono così efficaci?

Teams è trusted: usata da milioni per comunicazioni interne. Funzionalità come chiamate esterne e guest access facilitano l’ingresso. Combinato con Quick Assist o condivisione schermo nativa, offre un ponte diretto al desktop.

Gruppi ransomware come Black Basta o Storm usano tattiche simili, evolvendo da phishing email a vishing multimodale. Non servono vulnerabilità zero-day: basta manipolare la fiducia umana.

Aziende con Microsoft 365 sono prioritarie, dato l’uso capillare di Teams. Attaccanti spoofano nomi display con caratteri Unicode per eludere filtri, rendendo inviti guest apparentemente legittimi.

Misure di prevenzione immediate

  • Verifica identità: Chiama indietro su numeri ufficiali.
  • Abilita MFA: Autenticazione multi-fattore su tutti gli account.
  • Addestra il personale: Simulazioni di phishing regolari.
  • Monitora Teams: Alert su chiamate esterne insolite.
  • Aggiorna software: Patch per Teams e Windows tempestive.

Queste azioni riducono il rischio del 90%, secondo analisi di incidenti recenti.

Technical Deep Dive

Per esperti IT e security analyst, ecco i dettagli tecnici degli attacchi osservati.

Fase 1: Email bombing e vishing iniziale

Attaccanti usano script per inviare 1000+ email spoofate da domini simili (es. company-support[.]com). Poi, da tenant M365 compromessi, chiamano via Teams API. Spoofing display name: nomi come “IT Helpdesk Manager” con glyphs visivamente simili (es. ‘l’ vs ‘I’).

Exploit di Teams guest invite: team name offuscati con Unicode (CVE-like issues, cf. CVE-2024-38197 per notification spoofing). Inviti da @microsoft.com legittimi bypassano filtri email.

Fase 2: Accesso remoto

Due varianti:

  • Teams screen share: STAC5143-like, esegue shell commands e scarica malware da SharePoint esterni.
  • Quick Assist: RDP-based, codice 6-digitale condiviso verbalmente. Connessione permette browser navigation a blob.core.windows.net subdomini per payload.

Fase 3: Malware deployment

Sito fake con form login ruba credenziali. Download:

  • MSI disguised: sideload DLL via trusted processes (es. msiexec.exe -> malicious.dll).
  • DLL side-loading: rundll32.exe carica payload, evade EDR.

C2 via HTTPS a domini attacker-controlled, beaconing disguised as legit traffic (es. Office telemetry).

Fase 4: Espansione e persistence

  • Loaders crittografati: AES-encrypted stages, decrypt in-memory.
  • Credential harvesting: LSASS dump via Mimikatz-like, o session hijacking con token manipulation.
  • Lateral movement: Proxy chains (socks5), PsExec/WMI per RCE su host remoti.

Tecniche MITRE ATT&CK: T1566.001 (Phishing:Vishing), T1218.011 (Signed Binary Proxy), T1071.001 (Web Protocols), T1059.001 (PowerShell), T1547 (Boot/Logon Autostart).

Eviction e forensics

DART-like response: netstat per C2, Volatility per memory dump, YARA rules per MSI/DLL signatures. Containment: GPO per bloccare Quick Assist outbound, Teams policies per external calls.

Signature example per detection:

Get-Process | Where-Object {$_.ProcessName -eq "rundll32" -and $_.CommandLine -like "*msi*"}

Monitora Event ID 4688 per suspicious parent-child processes. SIEM rules su Teams logs (external caller IP anomalies).

In sintesi, questi attacchi evolvono: da vishing puro a full RCE chain. Implementa Defender for Endpoint con ASR rules, e Conditional Access per Teams.

La minaccia persiste nel 2026: state vigili.

Fonte: https://gbhackers.com/microsoft-teams-based-vishing-attack/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto