A Microsoft lançou um aviso que convém tomar a sério: atacantes estão a explorar a funcionalidade de colaboração externa da Microsoft Teams para fazer passar por pessoal de TI ou helpdesk e convencer funcionários de que lhes concedam acesso remoto. O perturbador não é tanto o “hack” espetacular, mas a combinação de engenharia social e ferramentas legítimas que permite aos intrusos se moverem por redes corporativas sem levantar a suspeita habitual. Este alerta está detalhado no relatório da empresa, que descreve como as invasões seguem uma cadeia de passos muito concretos e repetiveis; a análise completa está disponível no blog de segurança da Microsoft aqui.
O ponto de partida típico é uma mensagem de fora do inquilino da Teams: um chat cruzado em que o atacante se identifica como técnico, menciona um suposto problema de conta ou uma atualização crítica e pede iniciar uma sessão de suporte remoto. Se a vítima aceita, ferramentas como Quick Assist (a aplicação de assistência remota do Windows) entregam ao atacante controle direto do equipamento comprometido, e a partir daí começa a escalada silenciosa. Para entender por que este vetor é tão eficaz, convém lembrar que muitos funcionários consideram legítimas os pedidos de ajuda técnica e, em dias de pressão laboral, é fácil cair na armadilha.
Uma vez dentro, os atacantes realizam um reconhecimento rápido com Command Prompt e PowerShell para verificar privilégios, pertença ao domínio e alcance da rede, avaliando a possibilidade de se mover lateralmente para sistemas com mais valor. Posteriormente colocam um pequeno pacote de componentes em rotas com permissão de escrita do usuário, por exemplo ProgramData, e conseguem executar código malicioso aproveitando aplicativos assinados e de confiança através da técnica conhecida como DLL side-loading. Esse uso de binários legítimos e assinaturas digitais é o que faz com que a comunicação maliciosa e a atividade posterior se confundam com tráfego e tarefas normais. Se você quer aprofundar em como essa técnica funciona, a base de conhecimento do MITRE descreve-o detalhadamente no seu catálogo ATT&CK: DLL Side‐Loading (MITRE ATT&CK).
A comunicação de comando e controlo é normalmente feita sobre HTTPS, o que se mistura com o resto do tráfego de saída e dificulta a sua detecção por controles de rede tradicionais. Com persistência assegurada por alterações no Registo do Windows, os operadores abusam do Windows Remote Management (WinRM) para alcançar outros equipamentos ligados ao domínio e, por vezes, atacar ativos de alto valor como controladores de domínio. WinRM, pensado para administração remota legítima, torna-se assim o tubo que facilita a propagação em ambientes corporativos. A Microsoft e a documentação técnica oficial sobre WinRM explicam seu funcionamento e considerações de segurança em: Windows Remote Management (WinRM) — Microsoft Docs.
Nas fases finais do ataque, os invasores exibem ferramentas adicionais de gestão remota em sistemas que já têm acesso para automatizar coleta de dados e, crucialmente, usam utilitários como Rclone para transferir arquivos para pontos de armazenamento na nuvem exterior. O uso de Rclone ou outras ferramentas legítimas de sincronização permite filtrar e extrair apenas informações valiosas, reduzir volumes e melhorar o sigilo operacional; a própria ferramenta e a sua documentação pública estão disponíveis em rclone.org, que é a que costumam empregar esses atores para enviar dados fora do perímetro sem levantar alarmes evidentes.
Todo este processo, descrito pela Microsoft como uma cadeia de nove etapas nos casos analisados, demonstra por que as intrusões “human-operated” são tão perigosas: não dependem de um único exploit de dia zero, mas sim de combinar engenharia social, ferramentas administrativas legítimas e abusos de processos assinados para permanecer ocultas. Detectar a atividade maliciosa é complicado porque muitas das ações parecem tarefas rotineiras de suporte ou gestão de TI. O relatório da Microsoft contém capturas e um percurso técnico por estas etapas que ajudam a identificar padrões de comportamento anormais; você pode consultar no seu blog de segurança: Cross-tenant helpdesk impessoation playbook.
Diante deste cenário, as recomendações têm de combinar controles técnicos com prevenção humana. A Microsoft insiste que as contas externas em Teams devem ser tratadas, por defeito, como não confiáveis e que os administradores limitem ou monitorizem estritamente as ferramentas de assistência remota. Também aconselha a restringir o uso de WinRM a sistemas específicos e a supervisionar transferências para serviços em nuvem externos. Para documentação sobre como gerenciar o acesso externo em Teams e reduzir a exposição pode servir o guia oficial: Manage external access in Microsoft Teams — Microsoft Docs.
Além das medidas de configuração, há boas práticas operacionais que atenuam o risco: educar os funcionários para verificar a identidade de quem pede suporte por canais alternativos, exigir verificações adicionais para sessões remotas e ativar controlos de segurança que alertem sobre execuções atípicas de aplicações assinadas, alterações persistentes no Registo e uso incomum de ferramentas de sincronização de arquivos. Soluções de detecção e resposta em endpoints (EDR) e políticas de aplicação por lista branca também dificultam a execução de cargas úteis através de binários legítimos.
Não é uma solução única nem milagrosa: defender-se perante este tipo de campanhas requer supervisão contínua, segmentação da rede, menor uso de contas com privilégios permanentes e esquemas de administração mais rigorosos (por exemplo, acesso just‐in‐time ou estações de trabalho dedicadas para tarefas administrativas). O padrão geral é elevar a suspeita diante de pedidos de suporte inesperados e reduzir a capacidade de um atacante para usar ferramentas legítimas como alavanca de ataque.
Se você gerencia uma organização, verifique as políticas de colaboração externa em Teams, avalia quem pode iniciar ou aceitar sessões de assistência remota e configura alertas para detectar padrões incomuns. Para as equipes técnicas, convém repassar logs de PowerShell e WinRM, auditar modificações no Registro e controlar processos que iniciam conexões HTTPS salientes para domínios pouco habituais. A combinação de formação, controles administrativos e detecção baseada em comportamento é a melhor defesa contra uma classe de intrusão que aproveita nossa confiança nas ferramentas cotidianas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...