Teams e Google Drive usati per compromettere i sistemi in 20 minuti

Teams e Google Drive usati per compromettere i sistemi in 20 minuti

Teams e Google Drive usati per compromettere i sistemi in 20 minuti

In breve: questa campagna mostra come un semplice messaggio di supporto falso possa trasformarsi in un’infezione completa in pochi minuti. Se ricevi richieste inattese su Teams, evita di seguire istruzioni urgenti, non avviare Quick Assist senza verifica e segnala subito l’episodio al team IT.

Gli aggressori stanno sfruttando strumenti aziendali affidabili per sembrare legittimi e convincere le vittime a collaborare. In questo caso, la sequenza parte da un sovraccarico di email, passa attraverso Microsoft Teams e termina con malware remoto distribuito tramite servizi cloud comunemente usati nelle aziende.

Come funziona l’attacco

La catena osservata è costruita per apparire normale a un utente distratto. Prima arriva un’ondata di email di iscrizione o notifiche reali, abbastanza intensa da creare confusione e urgenza. Subito dopo compare su Microsoft Teams un presunto addetto dell’assistenza interna che invita l’utente a risolvere il problema rapidamente.

Da lì, la vittima viene convinta ad aprire Quick Assist e a seguire istruzioni passo dopo passo. In alcuni casi, il truffatore fornisce un link a una pagina di appunti o istruzioni ospitata su un servizio pubblico, così da rendere il flusso ancora più credibile.

Il file finale non arriva da un server sospetto, ma da un tenant compromesso di Microsoft 365 con contenuti archiviati su SharePoint. Questo dettaglio è importante perché riduce i segnali di allarme e fa sembrare il materiale parte di un normale processo aziendale.

Il pacchetto scaricato contiene un archivio con un componente Java malevolo e un runtime OpenJDK incluso. In pratica, il malware può essere eseguito su sistemi Windows anche quando Java non è già installato, semplificando la riuscita dell’attacco.

Perché l’attacco è efficace

Il punto di forza della campagna non è solo il malware, ma il modo in cui viene distribuito. Gli aggressori sfruttano piattaforme considerate affidabili dagli utenti e spesso anche dai sistemi di sicurezza. Microsoft Teams viene usato per il contatto iniziale, SharePoint per la consegna del payload, Pastebin per ospitare le istruzioni, Quick Assist per il controllo remoto e Google Drive per il comando e controllo.

Questo approccio rende molto più difficile distinguere il traffico malevolo da quello legittimo. Quando il malware comunica con API e servizi cloud popolari, le difese basate solo sul blocco di domini o indirizzi IP diventano meno efficaci.

Il ruolo di Nimbus RAT

Il payload identificato in questa campagna è un trojan di accesso remoto basato su Java, progettato per offrire agli attaccanti un controllo esteso della macchina compromessa. Una volta eseguito, stabilisce persistenza e avvia comunicazioni cifrate con la propria infrastruttura di comando e controllo.

Nimbus RAT supporta diverse funzioni operative, tra cui:

  • esecuzione di comandi arbitrari
  • manipolazione del file system
  • accesso al registro di sistema
  • acquisizione di schermate
  • caricamento in memoria di payload secondari

Il malware include anche due meccanismi per il furto delle credenziali. Il primo mostra un finto prompt di sicurezza di Windows per convincere l’utente a digitare la password. Il secondo richiama direttamente un componente di sistema per sollecitare più tentativi di autenticazione, aumentando le probabilità di successo.

Google Drive come canale di comando e controllo

Una caratteristica particolarmente insidiosa di questa campagna è l’uso di Google Drive e Google Sheets come canali di comando e controllo. Invece di affidarsi a infrastrutture dannose tradizionali, il malware legge istruzioni da file ospitati su Drive e carica dati esfiltrati nello stesso ambiente.

Per i difensori, questo crea un problema serio: il traffico sembra normale attività cloud, soprattutto in organizzazioni che usano quotidianamente i servizi Google per lavoro. Di conseguenza, il rilevamento deve basarsi su segnali comportamentali e correlazioni tra eventi, non solo sul riconoscimento di una destinazione di rete sospetta.

Segnali osservati nelle campagne

Le analisi della telemetria indicano che questo tipo di intrusione non è un evento isolato. Sono stati rilevati numerosi scambi sospetti su Microsoft Teams distribuiti in molte organizzazioni, con un aumento netto nel periodo recente.

Un tratto ricorrente è l’uso di tenant Microsoft 365 usa-e-getta con domini onmicrosoft.com, spesso impiegati per impersonare il personale dell’helpdesk o del supporto IT. In altri casi, gli attaccanti hanno sfruttato tenant legittimi compromessi, aumentando la credibilità del messaggio e riducendo i sospetti dell’utente.

Anche l’infrastruttura segue schemi ripetibili: registrazione rapida dei domini, riuso di range IP presso provider noti e creazione massiva di tenant per scalare la campagna. Questi elementi suggeriscono un’operatività organizzata, con processi già collaudati e facilmente replicabili.

Cosa devono fare i team di sicurezza

La protezione efficace richiede visibilità su più livelli. Bloccare un singolo dominio non basta, perché gli attaccanti cambiano rapidamente infrastruttura e si appoggiano a servizi legittimi.

Le difese più utili includono:

  • monitoraggio di picchi anomali nel volume della posta in arrivo
  • attenzione ai contatti inattesi su Teams da presunti tecnici o helpdesk
  • verifica rigorosa di qualsiasi richiesta di avvio di Quick Assist
  • controllo dei processi endpoint, con particolare attenzione a javaw.exe lanciato da percorsi insoliti
  • correlazione tra esecuzioni sospette e connessioni verso API cloud legittime
  • analisi dei segnali di identità, comportamento utente e attività di rete insieme

Se un utente segnala di aver seguito istruzioni da un presunto supporto interno, conviene intervenire subito. In questi casi, il tempo è un fattore critico: l’attacco può completarsi in meno di 20 minuti, quindi ogni ritardo aumenta la probabilità di compromissione.

Perché questa tecnica sta diventando più comune

Gli attaccanti stanno spostando sempre più spesso le loro operazioni verso l’abuso di ecosistemi SaaS affidabili. La ragione è semplice: gli utenti si fidano di queste piattaforme, e le aziende spesso non possono bloccarle senza danneggiare il lavoro quotidiano.

Questo cambia il modo in cui bisogna pensare alla difesa. Non basta più cercare solo file allegati malevoli o domini noti per phishing. Serve una strategia che consideri il contesto: chi sta scrivendo, da dove arriva la richiesta, quale processo è stato avviato, quali servizi cloud sono coinvolti e se la sequenza degli eventi è coerente con il comportamento normale dell’organizzazione.

Per gli utenti finali, la regola pratica è semplice: diffidare delle richieste urgenti, verificare sempre l’identità del contatto e non concedere accesso remoto senza una conferma indipendente. Per i difensori, la priorità è correlare identità, endpoint e cloud in un’unica vista operativa.

Technical Deep Dive

La campagna segue una catena operativa strutturata che combina social engineering, abuso di SaaS e consegna modulare del payload. La fase iniziale di email bombing serve a saturare l’attenzione della vittima e ad aumentare la probabilità che accetti una soluzione proposta in tempi brevi. Il successivo contatto su Teams sfrutta il canale interno percepito come affidabile, riducendo la resistenza dell’utente.

L’uso di Quick Assist è particolarmente efficace perché sposta il controllo dalla sola interazione remota alla cooperazione diretta della vittima. Una volta ottenuto l’accesso, l’attaccante può guidare l’esecuzione dei passaggi successivi e introdurre il payload con minori barriere. L’hosting delle istruzioni su un servizio pubblico come Pastebin aggiunge un ulteriore livello di normalità apparente, mentre SharePoint fornisce un vettore di download che si inserisce bene nel traffico aziendale atteso.

Dal punto di vista tecnico, Nimbus RAT mostra una progettazione modulare e orientata all’operatività. L’inclusione di un runtime Java con il payload consente portabilità su Windows e riduce i vincoli di compatibilità. La persistenza e le comunicazioni cifrate verso l’infrastruttura di comando e controllo supportano sia il mantenimento dell’accesso sia l’esfiltrazione controllata.

L’uso di Google Drive e Google Sheets come C2 è una scelta strategica perché sposta il traffico verso endpoint ampiamente tollerati nelle reti aziendali. Questo rende meno utile l’analisi basata su dominio malevolo e impone controlli più avanzati: ispezione comportamentale, rilevamento di anomalie nei pattern di accesso ai servizi cloud, e correlazione con eventi di esecuzione locali. In particolare, un’istanza di javaw.exe avviata da una directory non standard, seguita da richieste verso API Google inusuali per quell’host, rappresenta un indicatore ad alta priorità.

Anche il furto delle credenziali è stato progettato per massimizzare la resa. Il finto prompt di Windows intercetta il comportamento dell’utente in un momento di bassa attenzione, mentre l’uso diretto di funzioni di sistema per richiedere credenziali può generare più tentativi di inserimento e aumentare la probabilità di successo. In un ambiente difensivo maturo, questi eventi dovrebbero essere correlati con i log di sessione, i segnali di identity protection e la telemetria del browser o del processo host.

Per la detection, il modello migliore è quello a più livelli: sicurezza della posta per identificare flooding anomalo, controlli di collaborazione per segnalare contatti sospetti, EDR per intercettare esecuzioni insolite di Java e strumenti di CASB o telemetry cloud per individuare accessi non coerenti ai servizi Drive e Sheets. La sola reputazione del dominio non è sufficiente, perché l’attacco si appoggia proprio a infrastrutture legittime e compromesse.

Infine, questa campagna evidenzia che la superficie d’attacco moderna non è più limitata al perimetro tradizionale. Identità, collaborazione, endpoint e cloud formano un unico spazio operativo, e gli attori malevoli stanno imparando a muoversi tra questi livelli con grande rapidità. Una difesa efficace deve quindi combinare formazione degli utenti, verifica dei flussi di supporto interni, rilevamento comportamentale e risposta rapida agli incidenti.

Fonte: https://cybersecuritynews.com/microsoft-teams-and-google-drive-abused/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto