Novo malware BackConnect usa Microsoft Teams para roubar dados sigilosos

Um novo e sofisticado malware chamado BackConnect vem utilizando o Microsoft Teams e outras ferramentas legítimas do Windows para roubar dados e informações confidenciais dos usuários. Segundo relatório divulgado pela Trend Micro nesta segunda-feira (3), os criminosos usam técnicas avançadas de engenharia social e exploram vulnerabilidades em softwares populares para se infiltrar nos sistemas das vítimas.

• Botnet Vo1d infecta 1,6 milhão de dispositivos Android TV; 25% estão no Brasil
• Alerta: botnet massiva ataca contas Microsoft 365 no Brasil e no mundo

O BackConnect começou a ser detectado em outubro de 2024, com foco inicial na América do Norte e Europa. Desde então, já foram registrados 21 incidentes nos Estados Unidos, 5 no Canadá e 5 no Reino Unido. Embora o Brasil não apareça neste primeiro levantamento, especialistas alertam que o país pode se tornar alvo em breve.

O novo malware é particularmente perigoso por combinar táticas de engenharia social com o abuso de ferramentas legítimas e amplamente utilizadas, como o Assistência Remota e, sobretudo, o Microsoft Teams — que se tornou o principal app de comunicações da Microsoft com o fim do Skype. Isso dificulta a detecção por soluções tradicionais de segurança e coloca em risco dados sensíveis de indivíduos e organizações.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como funciona o ataque do BackConnect?

Os criminosos iniciam o ataque com uma campanha de inundação de e-mails, seguida por contato direto via Microsoft Teams. Eles se passam por membros do suporte de TI e convencem as vítimas a concederem acesso remoto aos seus dispositivos, geralmente utilizando o Assistência Rápida — uma ferramenta nativa do Windows para assistência remota.

Uma vez com acesso, os atacantes baixam arquivos maliciosos de serviços de armazenamento em nuvem comerciais. Esses arquivos são então manipulados para explorar vulnerabilidades no OneDriveStandaloneUpdater.exe, uma ferramenta legítima de atualização do OneDrive.

Através desse processo, os criminosos conseguem injetar DLLs maliciosas no sistema, que por sua vez instalam o malware BackConnect. Este malware estabelece uma conexão reversa do dispositivo infectado para o servidor do atacante, permitindo controle remoto persistente e capacidade de executar comandos arbitrários.

O uso de serviços de nuvem comerciais para hospedar e distribuir os arquivos maliciosos é uma tática deliberada para dificultar a detecção. Os atacantes se aproveitam da facilidade de uso, adoção generalizada e possíveis configurações incorretas desses serviços para ampliar o alcance do golpe.

Golpe está relacionado com ransomwares famosos

A Trend Micro estabeleceu ligação entre o BackConnect e os ransomwares Black Basta e Cactus. Análises realizadas pela Equipe de Resposta a Incidentes da empresa identificaram que os mesmos atores por trás desses ransomwares estão utilizando o BackConnect para fortalecer seu controle sobre máquinas comprometidas.

O Black Basta, por exemplo, supostamente extorquiu US$ 107 milhões em Bitcoins de suas vítimas em 2023. Já o Cactus é uma operação mais recente, mas que aparentemente recrutou membros-chave do grupo Black Basta, indicando uma provável mudança de afiliação entre certos atores de ameaças.

Em ambos os casos, o WinSCP — um cliente de transferência de arquivos open-source — é frequentemente utilizado para movimentar arquivos infectados dentro do ambiente comprometido. Os logs de firewall confirmaram atividades de rede suspeitas envolvendo o programa se conectando a domínios recém-registrados e potencialmente maliciosos.

Quem são os alvos do BackConnect?

De acordo com os dados de inteligência de ameaças da Trend Micro, desde outubro de 2024 a maioria dos incidentes ocorreu na América do Norte (21 violações), seguida pela Europa (18). Os Estados Unidos foram os mais atingidos, com 17 organizações afetadas, enquanto Canadá e Reino Unido registraram cinco violações cada.

Em termos de setores mais visados, a indústria manufatureira lidera com 10 vítimas, seguida por consultoria financeira e de investimentos e setor imobiliário, cada um com seis vítimas. Embora o Brasil não figure neste relatório inicial, especialistas alertam que é apenas uma questão de tempo até que os criminosos expandam suas operações para o país.

É importante ressaltar que o BackConnect não se limita a alvos corporativos. Indivíduos também podem ser vítimas, especialmente considerando o uso generalizado de ferramentas como o Microsoft Teams e o OneDrive tanto em ambientes profissionais quanto pessoais.

Aprenda a se proteger do BackConnect

Para mitigar os riscos associados ao BackConnect e ataques similares, usuários e organizações devem restringir o uso de ferramentas de assistência remota como o Assistência Rápida. Programas assim só devem ser utilizadas quando absolutamente necessário e com aprovação prévia da equipe de TI.

A educação dos usuários sobre engenharia social é igualmente importante. Funcionários devem ser treinados regularmente para identificar tentativas de phishing e falsos pedidos de assistência remota. Um exemplo prático seria instruir os colaboradores a sempre verificarem a identidade de quem solicita acesso remoto, mesmo que pareça ser alguém do suporte técnico interno.

Aplicar as melhores práticas de segurança recomendadas pela Microsoft para o Teams também é essencial. Isso inclui tratar o aplicativo como uma ferramenta de comunicação empresarial crítica que requer o mesmo nível de monitoramento de segurança que o e-mail. Por exemplo, limitar quem pode criar equipes ou canais e configurar políticas de retenção de dados pode ajudar a reduzir a superfície de ataque.

Além disso, é preciso implementar autenticação multifator (MFA) em todas as contas, especialmente para acesso remoto. No entanto, é importante notar que os atacantes têm desenvolvido métodos para contornar o MFA, como o uso de códigos QR maliciosos. Portanto, usuários devem ser orientados a sempre verificar a autenticidade de solicitações de MFA, mesmo que pareçam legítimas.

Por fim, organizações devem auditar regularmente as configurações de armazenamento em nuvem para prevenir acesso não-autorizado e monitorar o tráfego de rede em busca de conexões suspeitas, especialmente aquelas direcionadas a servidores de comando e controle conhecidos.

Leia mais no Canaltech:

• Wi-Fi público é perigoso? Entenda o risco de usar redes abertas
• 5 dicas para evitar golpes ao procurar por emprego na internet
• 8 golpes com inteligência artificial para você ficar atento

Fonte: Trend Micro