Una nuova minaccia informatica sta sfruttando il nome di Teams e di altre applicazioni molto diffuse per ingannare gli utenti e introdurre malware nei computer aziendali. A lanciare l’allarme sono stati gli esperti di sicurezza informatica di Microsoft. Essi hanno infatti individuato una campagna di phishing particolarmente sofisticata.
Il meccanismo parte da email apparentemente innocue che invitano a partecipare a una riunione online oppure a scaricare un presunto aggiornamento di software conosciuti come Teams, Zoom o Adobe. In realtà i link contenuti nei messaggi conducono al download di file dannosi che si presentano come applicazioni legittime.
La caratteristica più inquietante di questa operazione riguarda la firma digitale utilizzata per i file infetti. Gli aggressori sono riusciti infatti a ottenere un certificato di sicurezza di tipo Extended Validation, normalmente utilizzato dalle aziende reali per dimostrare l’autenticità dei propri software. Questo certificato è stato rilasciato a una società chiamata TrustConnect Software PTY LTD. Secondo le analisi degli esperti, l’azienda non esisterebbe realmente. Tutta l’identità della società sarebbe stata costruita artificialmente, probabilmente con l’aiuto dell’AI. Persino il sito web sembra essere stato creato appositamente per rendere l’organizzazione credibile agli occhi delle autorità di certificazione.
Il portale è stato utilizzato anche per promuovere un servizio illegale che offre malware ad altri criminali informatici. Questo modello, noto come Malware-as-a-Service, permette a chiunque paghi una quota mensile di utilizzare strumenti già pronti per attaccare aziende e organizzazioni.
Teams e software legittimi usati per nascondere il malware
Una volta scaricato, il software malevolo collegato alla truffa che sfrutta Teams agisce in modo discreto per evitare di essere individuato. Il programma si installa nel computer e crea componenti che si avviano automaticamente ogni volta che il sistema viene acceso.
Successivamente il malware utilizza comandi avanzati per installare strumenti di gestione remota comunemente usati nei reparti informatici delle aziende. Programmi come ScreenConnect, Tactical RMM o MeshAgent vengono impiegati tutti i giorni dagli amministratori di sistema per controllare e monitorare i computer aziendali.
Proprio questa scelta rende l’attacco particolarmente difficile da individuare. Poiché si tratta di software legittimi. Il traffico di rete generato da questi strumenti non appare immediatamente sospetto ai sistemi di sicurezza. Così facendo gli aggressori riescono a mantenere un accesso remoto persistente alla rete aziendale. Una volta ottenuto il controllo del computer, i criminali informatici possono muoversi all’interno dell’infrastruttura aziendale. Da qui possono cercare dati sensibili come database di clienti, documenti finanziari o proprietà intellettuale. In alcuni casi possono anche tentare di raggiungere sistemi centrali dell’organizzazione per ampliare ulteriormente l’attacco.
Per ridurre il rischio di infezione, Microsoft consiglia di prestare particolare attenzione a qualsiasi email che contenga link per aggiornamenti software o inviti a riunioni inattese. Verificare sempre la provenienza dei messaggi e scaricare programmi solo da fonti ufficiali rimane la difesa più efficace contro campagne di phishing.
