Angreifer nutzen Microsoft Teams und Quick Assist in neuer Angriffskette zur Nachahmung von Helpdesk-Mitarbeitern

Eine neue und betrügerische Angriffskampagne ist aufgetaucht, bei der Bedrohungsakteure sich über Microsoft Teams als IT-Helpdesk-Mitarbeiter ausgeben, um Mitarbeiter dazu zu verleiten, ihnen Fernzugriff auf ihre Systeme Eine neue und betrügerische Angriffskampagne ist aufgetaucht, bei der Bedrohungsakteure sich über Microsoft Teams als IT-Helpdesk-Mitarbeiter ausgeben, um Mitarbeiter dazu zu verleiten, ihnen Fernzugriff auf ihre Systeme zu gewähren.

Was diese Kampagne gefährlich macht, ist, dass sie vertrauenswürdige, alltägliche Geschäftswerkzeuge nutzt, um das Misstrauen der Benutzer zu umgehen und Unternehmensnetzwerke leise zu infiltrieren, ohne traditionelle Sicherheitsabdefenses auszulösen. Der Angriff beginnt einfach.

Ein Bedrohungsakteur, der von einem separaten Microsoft-Tenant aus operiert, sendet eine ungebetene Teams-Nachricht an einen Zielmitarbeiter und gibt sich dabei als internes IT-Support-Personal aus. Da der Kontakt über eine vertraute Kollaborationsplattform und nicht über eine verdächtige E-Mail erfolgt, senken viele Mitarbeiter instinktiv ihre Wachsamkeit.

Der Angreifer überzeugt das Opfer dann, die integrierten externen Kontaktwarnungen zu ignorieren und eine Remote-Assistenzsitzung über Microsoft Quick Assist zu genehmigen. Nach Abschluss dieses Schritts hat der Angreifer die volle interaktive Kontrolle über das Gerät des Opfers, normalerweise in unter einer Minute.