Centinaia di email inutili che intasano la casella di posta, una dopo l’altra, senza sosta. Il tipo di caos che farebbe pensare a un banale problema di spam. E poi qualcuno che si fa vivo, gentilissimo, spacciandosi per il supporto IT e offrendo aiuto. Ecco, è proprio in quel momento che scatta la trappola. Perché questo schema di email bombing combinato con l’ingegneria sociale su Microsoft Teams sta diventando una delle tecniche più insidiose nel panorama della cybersicurezza. E il bello, si fa per dire, è che non servono exploit sofisticati: basta sfruttare la fiducia delle persone.
Come funziona l’attacco: dal caos alla backdoor
Il meccanismo è stato documentato dai ricercatori di BlueVoyant ed è tanto semplice quanto efficace. Tutto parte con una vera e propria tempesta di notifiche nella casella email della vittima. Messaggi su messaggi, al punto che diventa impossibile distinguere cosa sia legittimo e cosa no. Subito dopo, qualcuno contatta l’utente su Microsoft Teams presentandosi come personale tecnico. Dice di aver notato attività sospette, propone assistenza. In molti, a quel punto, accettano senza pensarci troppo.
Ed è qui che arriva la mossa decisiva: la richiesta di aprire Quick Assist, lo strumento di supporto remoto integrato in Windows. Una volta concesso l’accesso, gli attaccanti entrano nel dispositivo e iniziano a lavorare per mantenere il controllo. In alcune indagini, gli strumenti malevoli venivano distribuiti tramite pacchetti MSI firmati digitalmente, ospitati su storage cloud Microsoft collegati ad account personali. Parliamo di link con token, il che rende tutto parecchio complicato da ricostruire a posteriori durante un’analisi forense.
All’interno di questi pacchetti, gli analisti hanno trovato programmi camuffati da componenti Microsoft legittimi, come Teams o CrossDeviceService. I file venivano installati in directory locali che imitano quelle normalmente usate da software autentico. Un dettaglio particolarmente interessante riguarda una DLL chiamata hostfxr.dll: normalmente è un componente .NET firmato da Microsoft, ma nella versione trovata risultava firmata con un certificato diverso. Il suo compito era decrittare un payload nascosto nella sezione dati del file e caricarlo in memoria.
A0Backdoor e il tunneling DNS: tecniche avanzate nascoste dietro un trucco banale
Il codice decrittato porta a quella che i ricercatori hanno battezzato A0Backdoor. Questo malware utilizza tecniche di cifratura runtime per nascondere la propria logica interna e crea un mutex per evitare che più istanze vengano eseguite contemporaneamente. Per comunicare con l’infrastruttura degli attaccanti, la backdoor sfrutta una forma di tunneling DNS basata su record MX. In pratica il traffico sembra diretto verso resolver pubblici, ma i comandi reali vengono codificati nei nomi di dominio. Una tecnica raffinata, che rende il traffico malevolo molto difficile da intercettare.
Durante l’analisi sono emerse anche numerose chiamate alla funzione CreateThread, probabilmente inserite per complicare la vita a chi cerca di analizzare il codice con un debugger. Insomma, dietro un attacco che parte da un trucco di ingegneria sociale apparentemente banale si nasconde un’infrastruttura tecnica tutt’altro che improvvisata.
BlueVoyant collega questa attività a un cluster noto come Blitz Brigantine, già associato a campagne simili in passato. La vicenda, come sottolineato anche dalla community di Red Hot Cyber, mette in evidenza un dato che si tende a sottovalutare: gli attaccanti non hanno dovuto sfruttare vulnerabilità complesse. È bastato convincere qualcuno a concedere l’accesso remoto. Ed è esattamente il punto in cui formazione, procedure aziendali e cultura della sicurezza fanno davvero la differenza.
