Attaccanti sfruttano Teams e Quick Assist per fingere assistenza IT

Attenzione: se ricevi un messaggio su Microsoft Teams da presunto supporto IT che ti chiede accesso remoto, fermati e verifica tramite canali ufficiali interni. Questa semplice azione può bloccare sul nascere una pericolosa truffa che sfrutta strumenti quotidiani come Teams e Quick Assist per infiltrarsi nelle reti aziendali. Gli attaccanti si fingono tecnici dell’helpdesk, convincono i dipendenti a concedere controllo remoto e rubano dati sensibili in pochi minuti.

In questo articolo scoprirai come funziona questa minaccia, i passi per riconoscerla e misure pratiche per difenderti. Soluzione rapida: configura restrizioni su Quick Assist e addestra il team a ignorare richieste esterne non verificate.

Come inizia l’attacco

L’operazione parte da un messaggio non sollecitato su Microsoft Teams. L’attaccante, usando un tenant Microsoft separato, si presenta come personale IT interno. Poiché arriva da una piattaforma familiare usata ogni giorno per lavoro, molti utenti abbassano la guardia, a differenza di un’email sospetta.

Il truffatore ignora gli avvisi su contatti esterni e persuade la vittima ad approvare una sessione di assistenza remota tramite Quick Assist. In meno di un minuto, ottiene controllo totale sul dispositivo: schermo, mouse, tastiera e file.

Una volta dentro, non perde tempo. In 30-120 secondi esegue comandi rapidi per verificare privilegi utente, dettagli del sistema e connessioni di rete. Se i permessi bastano, piazza payload malevoli in cartelle come ProgramData e attiva codice dannoso tramite tecniche avanzate.

Perché è così efficace e subdola

Questa campagna è letale perché sfrutta strumenti fidati aziendali, mimetizzandosi tra attività normali. Non usa exploit software tradizionali, ma conta su errori umani. Sfugge a molti controlli di sicurezza perché appare come supporto IT legittimo.

Gli attaccanti esplorano la rete con WinRM (Windows Remote Management) verso target preziosi come controller di dominio. Usano tool come Rclone per sincronizzare e rubare documenti sensibili su cloud esterni, esfiltrando dati senza clamore.

Punto chiave: l’attacco si confonde con routine IT, rendendolo difficile da rilevare senza monitoraggio avanzato su identità, endpoint e collaborazione.

Misure immediate per proteggerti

Per ridurre i rischi, adotta queste azioni pratiche:

Tratta tutti i contatti Teams esterni da ‘IT staff’ come sospetti. Verifica sempre via telefono o canali interni noti.
Limita Quick Assist e tool di gestione remota solo a ruoli IT autorizzati.
Abilita regole Attack Surface Reduction (ASR) e WDAC per bloccare sideloading da cartelle scrivibili dagli utenti.
Impone MFA e dispositivi conformi per sessioni amministrative tramite Conditional Access.
Attiva Safe Links su Teams e ZAP per intercettare messaggi malevoli retroattivamente.
Restringi WinRM a workstation di gestione autorizzate e monitora tool come Rclone.
Addestra i dipendenti a riconoscere indicatori di tenant esterni su Teams e usa frasi di autenticazione verbali con l’helpdesk.

Queste steps, implementate ora, tagliano drasticamente l’esposizione. Inizia con la verifica dei contatti: è la difesa più semplice e veloce.

Evoluzione dell’attacco dopo l’accesso

Superato il primo ostacolo, gli attaccanti accelerano. Eseguono ricognizioni veloci per mappare privilegi e rete. Se il sistema ha accesso adeguato, deployano payload staged in directory sensibili.

Osservati tool legittimi come AcroServicesUpdater2_x64.exe, ADNotificationManager.exe e DlpUserAgent.exe che caricano moduli malevoli da percorsi non standard. Questo permette esecuzione sotto identità fidata, eludendo antivirus.

Da lì, attivano canali di comando e controllo (C2) con traffico HTTPS su porta 443, mimetizzato nel traffico aziendale. Installano software di gestione remota extra e usano WinRM per muoversi lateralmente verso sistemi critici.

Approfondimento: il ruolo del DLL side-loading

Questa tecnica è centrale. DLL side-loading sfrutta il meccanismo Windows per caricare librerie di supporto. Un’app legittima e firmata digitalmente cerca DLL in cartelle specifiche.

Gli attaccanti piazzano le loro DLL maligne negli stessi percorsi: l’app fidata le carica al posto di quelle corrette, eseguendo codice dannoso con privilegi elevati.

In questa campagna, i moduli sideloaded decrittano config nascoste nel registro Windows, evitando scritture su disco sospette. Simile a framework come Havoc, persiste attraverso riavvii e pulizie. Poiché gira in processi vendor-signed, i tool di sicurezza faticano a bloccarlo.

Approfondimento tecnico

Riconoscimento e rilevamento avanzato

Monitora telemetria unificata: correla eventi da identità (es. tenant esterni su Teams), endpoint (comandi Quick Assist, WinRM) e collaborazione. Cerca:

Accessi Quick Assist da tenant non noti.
Comandi ricognitivi rapidi post-accesso (whoami, netstat, ipconfig).
Esecuzioni DLL da ProgramData/AppData in app firmate.
Traffico Rclone o WinRM verso target interni non autorizzati.

Usa EDR (Endpoint Detection Response) per flaggare side-loading: confronta hash DLL attese vs caricate.

Difese tecniche dettagliate

Misura	Descrizione	Impatto
ASR Rules	Blocca sideloading da cartelle user-writable (es. Office apps caricano DLL da internet)	Alto: previene payload execution
WDAC	Controllo app basato su policy, whitelist solo binari fidati	Alto: blocca tool non autorizzati
AppLocker	Restringi esecuzioni per path/gruppo	Medio: complementa WDAC
Lateral Movement Blocks	Disabilita WinRM su endpoint non-mgmt; usa Just-In-Time admin	Alto: limita pivot
Teams Policies	Blocca chat esterne per ruoli sensibili; alert su tenant sospetti	Alto: previene initial access