Con l’adozione crescente di strumenti di collaborazione come Microsoft Teams, le aziende devono essere sempre più consapevoli dei rischi legati agli attacchi informatici. Sebbene questi strumenti siano fondamentali per il lavoro quotidiano, rappresentano anche un obiettivo per gli hacker, che sfruttano ogni vulnerabilità per infiltrarsi nei sistemi aziendali. 

Un attacco sofisticato con vishing e strumenti legittimi 

Un recente rapporto del Cyber Defence Centre di Ontinue ha evidenziato un attacco informatico che ha coinvolto una combinazione di ingegneria sociale, vishing (phishing vocale) e software di accesso remoto per compromettere i sistemi aziendali. 

Gli hacker hanno inviato un messaggio su Microsoft Teams contenente un comando PowerShell dannoso. Approfittando della fiducia degli utenti nelle comunicazioni interne, il cybercriminale si è spacciato per un tecnico IT, convincendo la vittima ad eseguire il comando e concedere l’accesso remoto attraverso Quick Assist. Questa tattica è tipica delle tecniche adottate dal gruppo Storm-1811, noto per l’uso di vishing e strumenti di supporto remoto per ottenere il controllo dei dispositivi target. 

Il rischio di compromissione: un attacco in due fasi 

Dopo aver ottenuto l’accesso iniziale, gli attaccanti hanno sfruttato il sideloading DLL per eseguire codice dannoso tramite un file binario legittimo di TeamViewer.exe, che ha caricato un modulo dannoso (TV.dll). Questo approccio elude i sistemi di sicurezza poiché l’eseguibile appare autentico agli occhi dei sistemi di protezione. 

La fase successiva ha visto l’esecuzione di una backdoor basata su JavaScript tramite Node.js (hcmd.exe), stabilendo una connessione persistente con i server di comando e controllo degli aggressori. Utilizzando funzionalità socket, gli hacker potevano eseguire comandi da remoto senza essere facilmente rilevati. 

Strategie di rilevamento e prevenzione 

Questo tipo di attacco rientra in diverse categorie del framework MITRE ATT&CK, tra cui: 

• T1105 – Trasferimento di strumenti malevoli 

• T1656 – Impersonificazione 

• T1219 – Utilizzo di software di accesso remoto 

• T1218 – Esecuzione tramite binari firmati 

• T1197 – Abuso dei lavori BITS 

Per ridurre il rischio di attacchi simili, gli esperti di sicurezza consigliano alle aziende di: 

1. Limitare l’uso di strumenti di accesso remoto non indispensabili. 

1. Disabilitare le connessioni esterne a Teams quando non necessarie. 

1. Implementare misure di sicurezza avanzate come notifiche di sicurezza per rilevare tentativi di truffa. 

1. Formare adeguatamente i dipendenti su tecniche di ingegneria sociale e phishing vocale per prevenire cadute in trappole di questo tipo. 

La risposta di Microsoft: miglioramenti nella sicurezza 

In risposta a queste minacce, Microsoft ha introdotto notifiche di sicurezza in Quick Assist per avvisare gli utenti di tentativi di truffa legati al supporto tecnico. Si consiglia, inoltre, alle organizzazioni di disattivare l’uso di Quick Assist e altri strumenti di accesso remoto, qualora non siano strettamente necessari, al fine di ridurre i rischi di compromissione. 

Conclusione: non sottovalutare i rischi 

Le minacce informatiche stanno diventando sempre più sofisticate e mirate, e un semplice messaggio su Teams può rappresentare un veicolo per attacchi devastanti. È fondamentale che le aziende adottino misure di sicurezza adeguate e che investano nella formazione continua dei dipendenti per proteggere i propri sistemi e dati sensibili. 

Scopri come proteggere la tua azienda da attacchi informatici sofisticati. 
Per ulteriori informazioni e risorse, visita il nostro sito web o contattaci direttamente.