Il falso supporto tecnico su Teams è diventato uno dei metodi preferiti dai cybercriminali per infiltrarsi nelle reti aziendali, e gli attacchi stanno crescendo in modo preoccupante. Gli esperti di Microsoft hanno individuato un’escalation significativa di questa tipologia di minaccia, che sfrutta un meccanismo tanto semplice quanto efficace: fingersi membri dello staff IT o del supporto tecnico per convincere i dipendenti a bypassare le protezioni e installare strumenti di accesso remoto. L’obiettivo finale è sempre lo stesso, ovvero rubare dati sensibili. E la cosa più inquietante è che l’intero processo, dalla prima interazione al furto dei dati, può completarsi nell’arco di poche ore.
Microsoft Teams mette a disposizione diversi controlli di sicurezza quando si ricevono comunicazioni da contatti esterni all’organizzazione, che si tratti di chat, chiamate o condivisione di file. Il problema, però, è che i cybercriminali riescono comunque a penetrare nei sistemi una volta che il dipendente viene ingannato. Il trucco del falso supporto tecnico (helpdesk) funziona proprio perché spinge la vittima a ignorare consapevolmente gli avvisi di pericolo mostrati dal servizio. Il messaggio, in pratica, sembra provenire dallo staff IT dell’azienda e chiede al destinatario di avviare una sessione di accesso remoto, quasi sempre tramite Quick Assist, con la scusa di risolvere un problema legato all’account oppure di installare un aggiornamento di sicurezza.
Cosa succede dopo che il cybercriminale ottiene l’accesso
Una volta dentro, il copione è piuttosto rodato. I criminali eseguono una serie di comandi legittimi di Windows per raccogliere informazioni sul sistema: versione del sistema operativo, identità dell’utente, privilegi, dettagli della rete locale e altro ancora. Niente che faccia scattare un allarme immediato, perché si tratta di operazioni apparentemente normali.
Subito dopo vengono installati ed eseguiti malware che sfruttano la tecnica del DLL sideloading. Vengono anche effettuate modifiche al registro di sistema per garantire la persistenza, cioè per fare in modo che il malware resti attivo anche dopo un riavvio. A quel punto viene stabilita la connessione con un server C2 (command and control), che permette ai criminali di controllare la macchina compromessa da remoto. Da lì il passo successivo è muoversi lateralmente verso altri computer della rete usando Windows Remote Management (WinRM).
Per non rischiare di perdere l’accesso, i cybercriminali installano anche ulteriori strumenti di gestione remota che possono eventualmente sostituire il payload iniziale, garantendo una sorta di ridondanza. Alla fine del processo viene usato Rclone o strumenti simili per trasferire i dati dalla rete locale verso un servizio di cloud storage esterno. Un dettaglio interessante: vengono esfiltrati solo determinati tipi di file, una scelta deliberata per ridurre il traffico in uscita e abbassare la probabilità che qualcuno si accorga di quello che sta succedendo.
Tempistiche rapidissime e contromisure suggerite da Microsoft
Tutti i passaggi descritti si svolgono in poche ore, spesso entro lo stesso giorno. Questo rende particolarmente difficile intercettare l’attacco in tempo reale, soprattutto per le aziende che non dispongono di sistemi di monitoraggio avanzati. Microsoft ha pubblicato un elenco dettagliato di suggerimenti per prevenire queste minacce legate al falso supporto tecnico su Teams, rivolto in particolare alle organizzazioni che utilizzano la piattaforma per le comunicazioni interne quotidiane.
