Una campaña de ingeniería social que abusa de Microsoft Teams y Windows Quick Assist está en pleno auge.

BlueVoyant advierte que los atacantes están implementando una familia de malware recientemente identificada, llamada A0Backdoor, tras convencer a los empleados de que cedan el acceso remoto.

Esta actividad se superpone con tácticas previamente vinculadas a Blitz Brigantine, también identificado como Storm-1811, un clúster con fines financieros que Microsoft ha vinculado con las operaciones del ransomware Black Basta.

Según BlueVoyant, los ataques suelen comenzar con un bombardeo de correo electrónico, en el que el objetivo recibe una gran cantidad de mensajes basura y luego es contactado por alguien que se hace pasar por el soporte técnico interno a través de Microsoft Teams.

El atacante ofrece ayuda para solucionar el problema del correo electrónico y convence al empleado para que inicie Quick Assist, una herramienta legítima de soporte remoto de Microsoft que permite compartir la pantalla y controlar el dispositivo.

BlueVoyant descubrió que los instaladores colocaban archivos en rutas AppData del usuario que imitaban ubicaciones legítimas de software de Microsoft y luego recurrían a la instalación de DLL para ejecutar código malicioso.

La campaña es importante porque muestra que el mismo manual que los defensores han seguido desde 2024 todavía funciona, pero con herramientas renovadas y un comando y control más encubierto.

Para los defensores, la lección es clara: tratar Microsoft Teams como un canal de acceso inicial, no solo como una aplicación de colaboración. 

Las organizaciones deben restringir o eliminar la Asistencia Rápida donde no sea necesaria, supervisar los chats externos no solicitados de Teams e investigar los instaladores MSI firmados o los binarios de Microsoft que aparecen en directorios inusuales con permisos de escritura para el usuario.