Criminosos usam Teams e Quick Assist para invadir empresas

O uso indevido de ferramentas corporativas para invasões está ganhando espaço: cibercriminosos passam a explorar o Microsoft Teams e o Quick Assist para se passar por equipes de suporte internas e obter acesso remoto a máquinas empresariais. A Microsoft descreve a técnica como intrusões operadas por humanos, iniciadas por engenharia social e podendo evoluir para movimento lateral e exfiltração de dados.

Segundo a empresa, a ofensiva começa com a colaboração externa no Teams. Invasores entram em contato fingindo ser do help desk, em contextos de urgência, para induzir a vítima a aceitar uma sessão remota ou seguir orientações que pareçam técnicas legítimas. O Quick Assist, ferramenta de suporte remoto do Windows, atua como peça central da abordagem.

Por ser um recurso conhecido e assinado, o Quick Assist reduz a percepção de risco inicial pelo usuário e dificulta a identificação de que se trata de uma invasão em curso. A Microsoft afirma que, após conquistar a confiança da vítima, os operadores podem usar ferramentas administrativas já disponíveis no ambiente para ampliar privilégios, movimentar-se pela rede e preparar a retirada de informações sensíveis sem chamar atenção.

Essa combinação de abuso de plataformas corporativas, engenharia social e comportamento parecido com equipes de TI reais faz a operação se sustentar sem depender apenas de malware evidente. O uso de recursos legítimos torna as ações mais difíceis de detectar pela equipe de segurança.

O alerta aponta que o risco é maior em organizações que permitem comunicação externa ampla no Teams e não mantêm controles rígidos para assistência remota. Ambientes com processos informais de suporte ou validação fraca de chamados tendem a facilitar a fraude, segundo a Microsoft.