Grupos de cibercriminosos, liderados pelo Storm-1811, passaram a usar o Microsoft Teams e o Quick Assist como vetores de ataque para infiltrar redes corporativas, fingindo ser equipes de suporte técnico internas. A tática combina campanhas de spam, contatos via Teams e acesso remoto autorizado para implantar ransomware, com prejuízos que já ultrapassam US$ 107 milhões em resgates desde outubro de 2024.
A entrada nos ambientes corporativos não depende apenas de vulnerabilidades técnicas: envolve enganação social e a exploração da confiança cotidiana. O atacante contata a vítima por meio de Teams, apresentando-se como analista de TI da empresa e solicitando acesso para resolver alertas de conta. Em seguida, o funcionário utiliza o Quick Assist para conceder controle remoto, abrindo caminho para a exploração da rede.
Com o acesso obtido, os criminosos realizam reconhecimento em questão de minutos, mapeando privilégios, coletando informações do host e avaliando a conectividade da rede. Em seguida, softwares maliciosos são baixados e instalados, incluindo QakBot e Cobalt Strike, usados para movimentação lateral antes da instalação final do ransomware Black Basta.
O ataque também evidencia o uso de ferramentas legítimas para exfiltração e propagação. PsExec é empregado para se expandir pela rede, enquanto o Rclone transfere documentos sensíveis para armazenamento em nuvem fora do ambiente corporativo. Em alguns casos, o Matanbuchus 3.0 — MaaS com execução na memória e ofuscação — passou a integrar a cadeia de ataque, ampliando o alcance das campanhas.
Segundo dados da Trend Micro, o número de incidentes na América do Norte atingiu 21 brechas entre outubro de 2024 e 2025, com 17 ocorrências nos EUA, 5 no Canadá e 5 no Reino Unido; a Europa registrou 18 incidentes no mesmo período. A Microsoft, em resposta, tem suspendido contas suspeitas e avisado sobre golpes de suporte técnico na interface do Quick Assist, buscando reduzir a superfície de ataque. A recomendação para líderes de TI é limitar o uso do Quick Assist, bloquear comunicações externas no Teams, e adotar MFA resistente a phishing, além de monitorar ferramentas como WinRM, PsExec e Rclone para detectar atividades pós-exploração e impedir a criptografia dos dados.
