Eine Social-Engineering-Kampagne, die Microsoft Teams und Windows Quick Assist missbraucht, ist in vollem Gange. 

BlueVoyant warnt vor dem Einsatz einer neu identifizierten Malware-Familie namens A0Backdoor. Angreifer haben Mitarbeiter dazu gebracht, ihnen Fernzugriff zu gewähren.

Diese Aktivitäten ähneln Taktiken, die zuvor mit Blitz Brigantine (auch bekannt als Storm-1811) in Verbindung gebracht wurden. Dabei handelt es sich um einen Finanzcluster, den Microsoft mit den Black-Basta-Ransomware-Angriffen verknüpft hat.
Laut BlueVoyant beginnen die Angriffe typischerweise mit einer E-Mail-Flut.

Das Opfer erhält eine große Anzahl von Spam-Nachrichten und wird anschließend von jemandem kontaktiert, der sich über Microsoft Teams als interner technischer Support ausgibt. 

Der Angreifer bietet Hilfe bei der Behebung des E-Mail-Problems an und überzeugt den Mitarbeiter, Quick Assist zu starten – ein legitimes Microsoft-Tool für die Fernwartung, das Bildschirmfreigabe und Gerätesteuerung ermöglicht.

BlueVoyant entdeckte, dass Installationsprogramme Dateien in Benutzerverzeichnissen (AppData) ablegten, die den Speicherorten legitimer Microsoft-Software nachempfunden waren. 

Anschließend wurde die Installation von DLL-Dateien genutzt, um Schadcode auszuführen.
Die Kampagne ist bedeutsam, da sie zeigt, dass die seit 2014 bewährten Strategien der IT-Sicherheitsexperten weiterhin funktionieren – allerdings mit aktualisierten Tools und einer verdeckteren Steuerung.

Für IT-Sicherheitsexperten ist die Lehre klar: Microsoft Teams sollte als erster Zugangskanal und nicht nur als Kollaborationsanwendung betrachtet werden. 

Organisationen sollten die Schnellunterstützung einschränken oder entfernen, wo sie nicht benötigt wird, unerwünschte externe Teams-Chats überwachen und signierte MSI-Installationsdateien oder Microsoft-Binärdateien untersuchen, die in ungewöhnlichen Verzeichnissen mit Schreibrechten für den Benutzer auftauchen.