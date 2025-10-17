Microsoft ha rilevato e bloccato vari attacchi effettuati con il ransomware Rhysida all’inizio del mese di ottobre. Il gruppo Vanilla Tempest hanno utilizzato domini simili a quelli di Teams per distribuire installer infetti. All’inizio del mese, l’azienda di Redmond aveva descritto varie tecniche sfruttate dai cybercriminali per colpire il noto servizio di comunicazione e collaborazione.

Prima Oyster e poi Rhysida

Gli attacchi sono stati rilevati a partire da fine settembre. I cybercriminali hanno avviato una campagna di malvertising usando inserzioni di Google e SEO poisoning per mostrare nei risultati siti che ospitano installer fasulli di Microsoft Teams. Gli utenti che cercano il vero installer sono ingannati da nomi di dominio simili a quelli legittimi.

Cliccando sul link presenti nei siti (con design simile a quello ufficiale di Teams) viene scaricato il file MSTeamsSetup.exe , lo stesso nome dell’installer ufficiale. Se eseguito viene scaricata sul computer la backdoor Oyster che permette l’accesso remoto, il furto di file, l’esecuzione di comandi e il download di altri payload.

Il gruppo Vanilla Tempest (noto anche come VICE SPIDER e Vice Society) ha sfruttato la backdoor Oyster per distribuire il ransomware Rhysida (in passato ha usato anche BlackCat, Quantum Locker e Zeppelin). Dopo l’esfiltrazione dei file viene eseguita la loro cifratura. I cybercriminali chiedono quindi il pagamento di un riscatto.

L’installer fake di Teams non è stato rilevato dalle soluzioni di sicurezza e dalle protezioni di Windows perché i cybercriminali hanno utilizzato certificati di firma legittimi Trusted Signing, SSL.com, DigiCert e GlobalSign. Microsoft ha revocato oltre 200 certificati, quindi l’installer viene bloccato da Defender Antivirus e Defender for Endpoint.

Microsoft Teams è uno dei servizi più popolari, quindi è anche uno dei più bersagliati dai cybercriminali. L’azienda di Redmond ha descritto le tecniche più comuni per colpire la versione business. L’accesso ai sistemi avviene principalmente tramite phishing o la truffa del supporto tecnico. Dopo aver aggiunto account, i cybercriminali inviano messaggi con link o file infetti. Vengono quindi rubati numerosi dati sensibili, come credenziali, token e documenti confidenziali.