Falso supporto tecnico su Teams: attacchi in aumento
Topic
Approfondimenti
Trending
tutti

Falso supporto tecnico su Teams: attacchi in aumento

Microsoft ha rilevato attacchi che sfruttano un falso supporto tecnico su Teams per ingannare i dipendenti aziendali e ottenere l'accesso remoto.
Falso supporto tecnico su Teams: attacchi in aumento
Sicurezza
Microsoft ha rilevato attacchi che sfruttano un falso supporto tecnico su Teams per ingannare i dipendenti aziendali e ottenere l'accesso remoto.
Microsoft

Gli esperti di Microsoft hanno rilevato un aumento degli attacchi contro le aziende attraverso Teams. I cybercriminali impersonano membri dello staff IT o del supporto tecnico per convincere i dipendenti ad aggirare le protezioni e installare tool di accesso remoto per rubare numerosi dati sensibili. L’azienda di Redmond ha pubblicato un elenco dettagliato di suggerimenti per prevenire queste minacce.

Descrizione dell’attacco con falso helpdesk

Microsoft Teams offre numerosi controlli di sicurezza sui contatti esterni all’azienda (chat, chiamate, file), ma i cybercriminali riescono ad entrare nei sistemi interni dopo aver ingannato il dipendente. Viene in particolare usato il “trucco” del supporto tecnico (helpdesk) per convincere l’ignara vittima ad ignorare gli avvisi di pericolo mostrati dal servizio.

Il messaggio sembra arrivare dallo staff IT dell’azienda e invita il destinatario ad avviare una sessione di accesso remoto (quasi sempre con Quick Assist) per risolvere un problema dell’account o installare un aggiornamento di sicurezza. Dopo aver ottenuto l’accesso, i cybercriminali eseguono una serie di comandi legittimi di Windows per raccoglie informazioni (versione del sistema operativo, identità, privilegi, dettagli della rete locale e altre).

A questo punto vengono installati ed eseguiti malware che sfruttano la tecnica DLL sideloading, effettuate modifiche al registro per ottenere la persistenza e stabilita la connessione con il server C2 (command and control). I cybercriminali passano quindi ad altri computer usando Windows Remote Management (WinRM).

Per avere ridondanza installano altri tool di gestione remota che possono eventualmente sostituire il payload iniziale. Infine viene usato Rclone o tool simili che trasferiscono i dati dalla rete locale ad un servizio di cloud storage esterno. Vengono esfiltrati solo alcuni tipi di file per ridurre il traffico in uscita e la probabilità di rilevazione. Tutti i passi descritti sono eseguiti in poche ore e spesso entro lo stesso giorno.

Fonte: Microsoft

Pubblicato il 21 apr 2026

Link copiato negli appunti

Ti potrebbe interessare

La migliore VPN ora costa meno: ecco perché è un'occasione imperdibile

La migliore VPN ora costa meno: ecco perché è un'occasione imperdibile
False app per wallet su iOS rubano le criptovalute

False app per wallet su iOS rubano le criptovalute
Arriva un'email da Apple, ma è un tentativo di truffa

Arriva un'email da Apple, ma è un tentativo di truffa
Claude Mythos spaventa le banche: se l'AI diventa troppo potente

Claude Mythos spaventa le banche: se l'AI diventa troppo potente
La migliore VPN ora costa meno: ecco perché è un'occasione imperdibile

La migliore VPN ora costa meno: ecco perché è un'occasione imperdibile
False app per wallet su iOS rubano le criptovalute

False app per wallet su iOS rubano le criptovalute
Arriva un'email da Apple, ma è un tentativo di truffa

Arriva un'email da Apple, ma è un tentativo di truffa
Claude Mythos spaventa le banche: se l'AI diventa troppo potente

Claude Mythos spaventa le banche: se l'AI diventa troppo potente
Luca Colantuoni
Pubblicato il
21 apr 2026
Link copiato negli appunti