Hackers usam chamadas do Microsoft Teams para espalhar EtherRAT e burlar defesas corporativas
Criminosos digitais estão transformando algo tão rotineiro quanto uma chamada no Microsoft Teams em uma poderosa arma para invadir redes corporativas. Explorando a confiança dos usuários em ferramentas de colaboração, os atacantes conseguem instalar softwares de acesso remoto (RMM) e, em seguida, implantar um trojan furtivo de acesso remoto batizado de EtherRAT.
A ofensiva combina engenharia social, abuso de funcionalidades legítimas do Microsoft 365 e uso de ferramentas de suporte técnico reconhecidas pelo mercado. O resultado é um cenário em que a vítima acredita estar participando de um atendimento comum de TI, enquanto, na realidade, entrega o controle completo da sua máquina a um invasor.
Como o golpe começa: phishing disfarçado de “Pesquisa de Funcionários”
A cadeia de ataque começa com um e-mail de phishing bem elaborado, enviado para contas corporativas. A mensagem geralmente traz um título neutro ou positivo, como “Pesquisa de Funcionários” ou “Avaliação Interna”, incentivando o colaborador a participar de uma suposta pesquisa interna de clima ou satisfação.
No corpo do e-mail, há um anexo em PDF usado como isca. Ao abrir o arquivo, o usuário é induzido a acreditar que precisa de suporte técnico para concluir a ação ou é instruído a aguardar um contato do time de TI. É nesse momento que entra em cena a segunda etapa da operação.
A ligação no Teams: o falso “Administrador de Sistemas”
Logo após a abertura do PDF, a vítima recebe uma chamada de voz inesperada pelo Microsoft Teams. Do outro lado, alguém se apresenta como “Administrador de Sistemas”, “Suporte de TI” ou título semelhante, reforçando a narrativa iniciada pelo e-mail.
Tecnicamente, a conta do atacante está registrada em um locatário externo ao ambiente Microsoft 365 da empresa da vítima. Por isso, o Teams exibe um aviso como “Externo desconhecido” ou similar. Contudo, muitos usuários desconsideram esse alerta, especialmente quando o interlocutor fala com segurança, demonstra conhecimento sobre a empresa ou menciona temas internos que soam legítimos.
Analistas que investigaram a campanha identificaram que o perfil do invasor estava vinculado a um domínio cuidadosamente construído para se parecer com um endereço autêntico de suporte técnico. Essa sutileza visual – como a troca de uma letra ou uso de um domínio muito parecido com o oficial – aumenta a credibilidade e reduz a desconfiança do usuário.
Engenharia social bem calculada
O sucesso do ataque se apoia em técnicas clássicas de engenharia social: urgência, autoridade e familiaridade. O suposto analista de TI costuma afirmar que há um “problema detectado” na conta do colaborador, um “incidente de segurança” em investigação ou uma “atualização obrigatória” que precisa ser aplicada imediatamente.
Ao usar jargões técnicos e uma postura de autoridade, o criminoso cria pressão psicológica, fazendo com que a vítima se sinta na obrigação de cooperar. A pessoa, querendo “ajudar” o time de TI e evitar supostos riscos à empresa, acaba cedendo rapidamente aos pedidos do atacante.
Compartilhamento de tela e controle remoto
Durante a ligação, o invasor orienta a vítima a ativar o recurso de compartilhamento de tela do Microsoft Teams. Em alguns casos, induz também a conceder controle remoto da sessão, recurso legítimo usado frequentemente por equipes de suporte para resolver problemas à distância.
A partir do momento em que o compartilhamento é ativado, o atacante passa a ter visibilidade total do que está sendo feito na máquina. Se houver concessão de controle, ele literalmente passa a operar o dispositivo da vítima, como se estivesse fisicamente diante dele.
Nessa etapa, o criminoso guia o usuário passo a passo para instalar ferramentas de acesso remoto – as chamadas soluções RMM (Remote Monitoring and Management). O truque é utilizar softwares amplamente conhecidos no mercado, cujos nomes a vítima reconhece, o que reduz a probabilidade de desconfiança. Como essas ferramentas são legítimas, a instalação dificilmente aciona alertas imediatos em muitas soluções de segurança.
Do RMM ao malware: instalação silenciosa do EtherRAT
Depois que o acesso remoto está estabelecido por meio dessas ferramentas legítimas, o atacante executa a fase mais crítica da operação. Ele faz o download e roda um instalador MSI malicioso no equipamento comprometido. À primeira vista, o arquivo também parece um componente de software comum ou uma atualização de rotina.
Esse instalador, porém, configura silenciosamente um ambiente de execução legítimo do Node.js na máquina. Em seguida, descriptografa payloads escondidos em seu interior e, finalmente, executa o malware EtherRAT.
Como todo o processo se apoia em componentes considerados confiáveis – instalador MSI, Node.js e ferramentas RMM conhecidas – muitas soluções de endpoint têm dificuldade em distinguir essa atividade de tarefas administrativas legítimas. Isso dá aos criminosos uma janela de atuação ampla antes que qualquer comportamento suspeito seja detectado.
EtherRAT: um trojan de acesso remoto multiplataforma
O EtherRAT é um trojan de acesso remoto (RAT) construído integralmente em Node.js, o que facilita sua adaptação a diferentes sistemas operacionais e ambientes. Uma vez ativo, ele oferece aos atacantes um amplo conjunto de capacidades:
– Execução de comandos remotamente
– Criação, modificação e exclusão de arquivos
– Movimento lateral dentro da rede comprometida
– Coleta e exfiltração de dados sensíveis
– Manutenção de persistência prolongada no sistema infectado
Esse nível de controle permite que o invasor use o equipamento da vítima tanto para espionagem quanto como ponto de apoio para ataques adicionais a outros ativos da organização.
Contratos inteligentes Ethereum como infraestrutura de comando e controle
Um dos aspectos mais incomuns do EtherRAT é a forma como ele localiza seu servidor de comando e controle (C2). Em vez de depender apenas de domínios, IPs ou servidores tradicionais, o malware utiliza contratos inteligentes na blockchain Ethereum para recuperar o endereço do C2.
Essa abordagem traz várias vantagens para o atacante: a informação de infraestrutura é distribuída, resiliente e muito mais difícil de bloquear. A remoção ou bloqueio de um único domínio não é suficiente para inutilizar a operação, já que a lógica de resolução do endereço está embutida em uma rede descentralizada. Para os defensores, isso complica bastante as tentativas de derrubar ou interromper a cadeia de comando.
Origem e evolução da ameaça
Pesquisadores apontam que o EtherRAT já foi associado, em campanhas anteriores, a operações potencialmente patrocinadas por Estados, explorando vulnerabilidades críticas em outros contextos. Com o tempo, a ferramenta parece ter migrado para o ecossistema do cibercrime comum, sendo reaproveitada ou comercializada por grupos distintos.
Durante a análise mais recente, foi encontrado um diretório aberto no servidor de distribuição utilizado pelo atacante com nove versões diferentes do instalador do malware. Isso sugere um ciclo ativo de desenvolvimento, ajustes constantes e provável tentativa de driblar defesas baseadas em assinaturas e em padrões de comportamento já conhecidos.
Microsoft Teams como vetor recorrente
O incidente não é um caso isolado. O Microsoft Teams vem sendo explorado com frequência em campanhas de fraude e falsificação de identidade. A popularização do trabalho remoto e híbrido fez com que a plataforma se tornasse um dos principais centros de comunicação corporativa, o que naturalmente atrai o interesse de atacantes.
Nos últimos meses, diversas campanhas foram identificadas abusando de convites falsos, notificações de reunião, mensagens de chat e, agora, chamadas de voz para enganar funcionários. A confiança excessiva em comunicações internas, somada à falta de familiaridade de parte dos usuários com alertas de “contas externas”, cria um ambiente propício para esse tipo de golpe.
Por que as falsas chamadas de suporte ainda funcionam tão bem?
Apesar de repetidamente alertado, o golpe de “falso suporte técnico” segue extremamente eficaz por vários motivos:
– Cultura de obediência à TI: muitos colaboradores veem o time técnico como autoridade incontestável e raramente questionam demandas urgentes vindas desse setor.
– Pressa e sobrecarga de trabalho: sob pressão, os usuários acabam aceitando instruções sem analisar detalhes como o domínio do remetente ou o aviso de “conta externa”.
– Rotina de ferramentas remotas: após anos de trabalho remoto, tornou-se normal receber apoio via chamadas de vídeo, chat corporativo e acesso remoto. O que antes parecia suspeito hoje é interpretado como procedimento padrão.
– Linguagem técnica intimidadora: termos complexos, jargões e referências a “incidentes de segurança” ou “atualizações críticas” criam medo e reforçam a sensação de urgência.
Sem treinamentos constantes e claros, o usuário médio tem dificuldade em distinguir um contato legítimo de suporte interno de uma tentativa sofisticada de fraude.
Como as empresas podem se proteger
Para reduzir a superfície de ataque e minimizar os riscos causados por campanhas como essa, algumas medidas práticas podem ser adotadas:
1. Política clara de suporte de TI
Estabelecer regras formais sobre como o time de TI entra em contato com os usuários:
– Canais oficiais permitidos
– Tipos de pedidos que podem ou não ser feitos por telefone ou chat
– Procedimentos de verificação de identidade (por exemplo, confirmação via portal interno ou ticket pré-aberto)
2. Treinamento recorrente em engenharia social
Promover capacitações periódicas mostrando exemplos concretos de golpes em ferramentas de colaboração, incluindo simulações de phishing que usem Teams, e-mail corporativo e outras aplicações internas.
3. Uso restrito de ferramentas RMM
Aplicar listas de permissão (allowlists) para softwares de acesso remoto. Somente ferramentas aprovadas e instaladas via processos oficiais devem ser autorizadas, com monitoração do uso e registro detalhado das sessões.
4. Configuração reforçada do Microsoft Teams
– Restringir, quando possível, a interação com locatários externos ou aplicar regras de aprovação rígidas.
– Destacar visualmente alertas sobre contatos externos e treinar usuários para tratá-los como sinal de atenção máxima.
– Revisar permissões de compartilhamento de tela e controle remoto, evitando concessões irrestritas.
5. Monitoramento e resposta a incidentes
Implementar soluções de detecção e resposta em endpoints (EDR) capazes de identificar comportamentos anômalos, como:
– Instalação inesperada de ambientes de execução (caso do Node.js)
– Criação repentina de novos serviços persistentes
– Comunicação suspeita com endereços ligados a infraestrutura maliciosa
Sinais de alerta que o usuário pode observar
Do ponto de vista do colaborador, alguns indícios devem acender o alerta:
– Ligação ou chamada no Teams inesperada de alguém se apresentando como TI, sem que a pessoa tenha aberto um chamado.
– Perfil identificado como “externo” ou com endereço de e-mail/domínio estranho ou muito parecido, mas não idêntico ao oficial.
– Pressão para executar ações imediatas, como instalar programas, conceder controle remoto, desativar antivírus ou ignorar avisos de segurança.
– Solicitação de senhas, códigos de autenticação, dados pessoais ou informações sensíveis sob o pretexto de “verificação”.
Ao identificar qualquer um desses sinais, a orientação ideal é encerrar educadamente o contato e verificar, por canal oficial, se aquela solicitação procede.
O papel da cultura de segurança
Mais do que ferramentas, essa campanha mostra que a confiança do usuário é um dos ativos mais visados pelos atacantes. Criar uma cultura de segurança em que seja aceitável questionar, confirmar e até recusar pedidos suspeitos é fundamental.
Empresas que deixam claro para seus colaboradores que “desconfiar é parte do trabalho” e que não punem quem interrompe uma possível fraude tendem a reduzir consideravelmente o sucesso desses golpes. Em um ambiente em que o suporte real sempre segue processos previsíveis, qualquer desvio se torna muito mais fácil de reconhecer.
No fim, ataques como o que distribui o EtherRAT por meio de chamadas do Microsoft Teams reforçam uma lição conhecida, mas frequentemente ignorada: ferramentas legítimas e rotinas do dia a dia podem ser transformadas em armas poderosas se a engenharia social encontrar espaço. A combinação de tecnologia bem configurada, processos claros e usuários treinados continua sendo a melhor forma de quebrar essa cadeia de ataque.
