Хакеры-вымогатели выдают себя за техподдержку при фишинговых атаках на пользователей Microsoft Teams

Киберпреступники начали активно использовать платформу Microsoft Teams для фишинговых атак, маскируясь под службу поддержки, чтобы обманным путём получить доступ к корпоративным системам. Такие схемы позволяют злоумышленникам удалённо управлять устройствами и внедрять вредоносные программы, открывая доступ к конфиденциальным данным компаний.

Атаки реализуются с помощью массовой рассылки электронных писем, за которыми следуют звонки в Teams с поддельных аккаунтов. Один из методов был подробно описан специалистами Sophos, которые связывают его с деятельностью группировки STAC5143. Исследователи подчёркивают, что схожую тактику применяли участники Black Basta и, возможно, связанные с группой FIN7 хакеры.

Для проникновения в корпоративные сети злоумышленники используют стандартные настройки Microsoft Teams, позволяющие обмениваться сообщениями и звонками с внешними контактами. Это позволяет атакующим взаимодействовать с сотрудниками компаний, создавая иллюзию легитимности.

Одной из изученных атак стала рассылка тысяч писем за считаные минуты. Например, за 45 минут хакеры отправили около 3000 сообщений. После этого работнику компании поступил звонок от пользователя с учётной записью «Help Desk Manager». Во время разговора преступники убеждали сотрудника разрешить удалённое управление устройством через Teams.

На следующем этапе на компьютер загружались вредоносные файлы, в том числе архив Java (MailQueue-Handler.jar) и скрипты на Python, размещённые на внешнем ресурсе SharePoint. Через выполнение команд PowerShell происходила загрузка исполняемого файла ProtonVPN, который активировал вредоносный компонент DLL (nethost.dll). Этот модуль создавал зашифрованный канал связи с командным сервером, предоставляя преступникам полный доступ к заражённой системе.

Кроме того, хакеры применяли инструменты управления Windows, такие как WMIC и whoami.exe, чтобы собрать данные о системе. После этого они развернули вредоносные программы второго этапа, используя RPivot — средство, которое обеспечивает туннелирование через прокси-серверы SOCKS4 и позволяет отправлять команды на взломанные устройства.

Специалисты Sophos подчёркивают, что такие атаки продолжают представлять серьёзную угрозу, поскольку ориентированы на использование доверия сотрудников и недостатков в конфигурации корпоративных систем.