Um novo e sofisticado malware, denominado BackConnect, vem utilizando o Microsoft Teams e outras ferramentas legítimas do sistema operacional Windows para realizar o roubo de dados e informações confidenciais dos usuários. De acordo com um relatório divulgado pela empresa de segurança Trend Micro nesta segunda-feira (3), os criminosos por trás desse malware empregam técnicas avançadas de engenharia social, além de explorar vulnerabilidades em softwares populares, para se infiltrar nos sistemas das vítimas.
O BackConnect começou a ser detectado em outubro de 2024, com foco inicial na América do Norte e Europa. Até o momento, foram registrados 21 incidentes nos Estados Unidos, 5 no Canadá e 5 no Reino Unido. Apesar de o Brasil não aparecer nesse levantamento inicial, especialistas já alertam para a possibilidade de que o país se torne um alvo em breve.
Este novo malware é especialmente perigoso, pois combina táticas de engenharia social com o uso indevido de ferramentas legítimas e amplamente utilizadas, como o Assistência Remota e, principalmente, o Microsoft Teams — que se tornou o principal aplicativo de comunicação da Microsoft após a descontinuação do Skype. Essa abordagem dificulta a detecção por soluções tradicionais de segurança, colocando em risco dados sensíveis tanto de indivíduos quanto de organizações.
Como Funciona o Ataque do BackConnect?
O ataque inicia-se com uma campanha de inundação de e-mails, que é seguida de um contato direto através do Microsoft Teams. Os criminosos se fazem passar por membros do suporte de TI e convencem as vítimas a fornecer acesso remoto aos seus dispositivos, geralmente utilizando a ferramenta Assistência Rápida, uma funcionalidade nativa do Windows destinada a assistência remota.
Após obter acesso, os atacantes baixam arquivos maliciosos de serviços de armazenamento em nuvem comerciais. Esses arquivos são manipulados para explorar vulnerabilidades no OneDriveStandaloneUpdater.exe, uma ferramenta legítima de atualização do OneDrive.
Através desse processo, os criminosos conseguem injetar DLLs maliciosas no sistema, que, por sua vez, instalam o malware BackConnect. Este malware estabelece uma conexão reversa do dispositivo infectado com o servidor do atacante, permitindo controle remoto persistente e a capacidade de executar comandos arbitrários.
A utilização de serviços de nuvem comerciais para hospedar e distribuir arquivos maliciosos é uma tática deliberada dos atacantes, visando dificultar a detecção. Eles se aproveitam da facilidade de uso, da ampla adoção e de possíveis configurações incorretas desses serviços para ampliar o alcance do golpe.
Relação com Ransomwares Famosos
A Trend Micro estabeleceu uma ligação entre o BackConnect e os ransomwares Black Basta e Cactus. Análises realizadas pela equipe de resposta a incidentes da empresa identificaram que os mesmos criminosos por trás desses ransomwares estão utilizando o BackConnect para reforçar seu controle sobre máquinas comprometidas.
O Black Basta, por exemplo, é conhecido por ter extorquido aproximadamente US$ 107 milhões em Bitcoins de suas vítimas. O avanço desse novo malware representa uma preocupação crescente no panorama da segurança cibernética, e a vigilância é essencial para proteger dados sensíveis contra essas ameaças emergentes.
