Uma campanha recente demonstra que os atacantes já não precisam explorar vulnerabilidades de software para entrar em redes corporativas: basta-lhes enganar as pessoas. Pesquisadores da assinatura Blue Voyant descreveram como operadores mal-intencionados comunicam-se pela Microsoft Teams com funcionários de organizações financeiras e sanitárias para ganhar sua confiança e obter acesso remoto através da ferramenta Quick Assist, mobilizando depois um novo malware ao qual eles batizaram como A0Backdoor. Você pode ler o relatório completo dos analistas no blog Blue Voyant aqui.
O vetor inicial é puro engenharia social: antes de enviar a mensagem por Teams, os atacantes saturam a bandeja de entrada da vítima com e-mails de lixo para que o envio posterior pareça legítimo e urgente. Depois, eles passam por pessoal de suporte interno para oferecer ajuda com o problema das mensagens indesejadas e pedem à pessoa que inicie uma sessão de Quick Assist. Quick Assist é uma ferramenta integrada no Windows projetada para assistência remota; a Microsoft oferece orientação sobre seu uso e riscos em seu centro de suporte oficial.
Uma vez que o atacante obtém a sessão remota, introduz uma cadeia de ferramentas maliciosas que incluem instaladores MSI que aparentam ser componentes legítimos da Teams e do serviço CrossDeviceService (um componente relacionado ao aplicativo Phone Link). O preocupante é que esses instaladores estavam digitalmente assinados e alojados em uma conta pessoal de armazenamento na nuvem da Microsoft, o que ajuda a sortear controles básicos de detecção.
A técnica de persistência e execução que descrevem os pesquisadores mistura engenharia social com abusos de mecanismos válidos do sistema. Os instaladores usam uma técnica conhecida como DLL sideloading, na qual um executável legítimo carrega uma livraria maliciosa colocada com o mesmo nome esperado por esse binário. MITRE documenta este tipo de abuso como uma forma frequente de "sequestro do fluxo de execução" em sua matriz ATT&CK. Neste caso, a livraria maliciosa — identificada como hostfxr.dll pelos analistas — contém dados comprimidos ou criptografados que se desencriptam em memória para se tornar shellcode, e depois delegam a execução a esse código malicioso.
Para dificultar a análise, o código malicioso cria numerosos fios com CreateThread, uma manobra que pode fazer cair depuradores ou consumir recursos durante a análise dinâmica, embora não pareça afetar o funcionamento normal do sistema. O shellcode efectua verificações para detectar ambientes de laboratório ou sandbox, e calcula uma chave derivada de SHA- 256 que usa para decifrar o núcleo do A0Backdoor, o qual está protegido com AES. O malware é recolocado em memória, decifrando suas rotinas essenciais e começa a coletar informações do host através de chamadas APIs do Windows como DeviceIoControl, GetUserNameExW e GetComputerNameW para construir uma impressão do equipamento comprometido.
Outro componente sofisticado é a forma como o backdoor se comunica com seu centro de comando: emprega consultas DNS de tipo MX para resolutores públicos, colocando metadados codificados em subdomínios de alta entropia. Os servidores de e-mail devolvem registos MX que contêm comandos codificados; o malware extrai e decodifica a etiqueta mais à esquerda do nome devolvido para recuperar instruções ou configurações. Este uso de registros MX ajuda o tráfego a ser misturado com a atividade legítima e pode evitar detecções que estão mais orientadas para técnicas de túnel DNS baseadas em TXT. Se quiser compreender melhor como o DNS se torna canal de exfiltração ou comando e controle, o Cloudflare tem material divulgativo sobre técnicas de DNS tunneling.
Blue Voyant indica que entre os objetivos confirmados figuram uma instituição financeira no Canadá e uma organização sanitária com alcance global. Os pesquisadores valorizam com uma confiança moderada-alta que a campanha compartilha elementos com as táticas, técnicas e procedimentos que se relacionavam com o grupo atrás do ransomware BlackBasta, um ator que ficou em evidência após a filtração de seus chats internos. No entanto, a assinatura sublinha que há novidades neste ataque: o uso de instaladores MSI assinados, livrarias maliciosas carregadas por binários legítimos e o próprio A0Backdoor com seu canal C2 por registros MX são evoluções em relação a campanhas anteriores.
Que lições práticas deixa tudo isso para empresas e usuários? Primeiro, que a superfície de ataque inclui agora canais colaborativos como Teams e utilitários de assistência remota; portanto, a formação de pessoal deve incorporar cenários reais onde o atacante chama ou escreve fazendo passar por suporte. No plano técnico, convém restringir o uso de Quick Assist ou exigir verificação adicional antes de iniciar sessões remotas, aplicar políticas que impeçam a instalação de pacotes MSI que não estejam aprovados pelo departamento de TI, e reforçar o registro e a inspeção do tráfego DNS para detectar consultas com subdomínios de alta entropia ou padrões incomuns em registros MX.
As soluções Endpoint Detection & Response (EDR) e as plataformas de proteção contra ameaças modernas podem ajudar a identificar padrões de DLL sideloading, execução de código diretamente em memória e comportamentos de fingerprinting do sistema. Também é importante que as equipes de segurança correlacionem picos anormais de e-mail entrante com posteriores contatos por Teams ou outras plataformas de mensagens interna, porque esse padrão de "spam primeiro, depois suplantação do suporte" é uma assinatura da campanha.
Para usuários individuais a recomendação é simples e direta: não aceite controle remoto se não fías ao interlocutor e não pode verificar sua identidade por um canal independente. Se alguém afirma ser de TI, pendura e chama o número oficial do seu departamento; não siga instruções recebidas por mensagens oportunistas. E se detectar algo suspeito, repórta-o imediatamente para que as equipes de segurança possam responder e conter a possível intrusão.
Se você quer aprofundar a pesquisa técnica, o relatório do Blue Voyant é a referência mais completa disponível aqui, enquanto recursos como a matriz ATT&CK do MITRE explicam o abuso de DLL sideloading e documentação da Microsoft sobre Quick Assist detalha como funciona a ferramenta. Entender essas peças separadas ajuda a ver o panorama completo: os atacantes combinam engenharia social com técnicas técnicas avançadas, e a defesa deve responder com formação, controles técnicos e monitoramento especializado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...