Microsoft предупредила о волне кибератак через Teams: злоумышленники выдают себя за сотрудников ИТ-отдела или службы поддержки и убеждают жертв предоставить им удалённый доступ к ПК.
По данным компании, в атаках используются легитимные инструменты, включая средство удалённого доступа Quick Assist. На первом этапе злоумышленник связывается с сотрудником через внешний чат Microsoft Teams под видом сотрудника техподдержки. Он сообщает о якобы возникшей проблеме с аккаунтом или необходимости срочного обновления системы безопасности. Цель — убедить пользователя запустить сеанс удалённой помощи.
После получения доступа через Quick Assist атакующий получает контроль над устройством жертвы. Он может перемещаться внутри корпоративной сети, использовать административные инструменты и собирать конфиденциальные данные незаметно для систем безопасности.
Microsoft подчёркивает, что подобные атаки появляются всё чаще: злоумышленники активно пользуются доверием жертв к внутренним сервисам и привычным рабочим процессам.
Компания рекомендует относиться ко всем внешним контактам в Teams как к потенциально небезопасным. Администраторам советуют ограничивать использование инструментов удалённого доступа, контролировать применение WinRM и внимательно отслеживать подозрительную активность.