Il vishing è una tecnica utilizzata per vari tipi di truffe, ma solitamente le vittime sono utenti privati, come accaduto recentemente in Italia. Il Detection and Response Team (DART) di Microsoft ha invece scoperto un recente caso di vishing con Teams riguardante un cliente. Lo scopo dei cybercriminali era prendere il controllo degli account.
Falso supporto tecnico tramite Teams
Alcuni dipendenti di un’azienda sono stati contattati tramite telefonate in Teams provenienti da un utente esterno. Dopo due tentativi di vishing (voice phishing) andati a vuoto, il cybercriminale è riuscito ad ingannare un terzo dipendente, spacciandosi per un responsabile del supporto IT. Ha quindi chiesto di eseguire Quick Assist (Assistenza rapida) di Windows, ottenendo così l’accesso remoto al computer.
Seguendo le indicazioni del cybercriminale, l’ignara vittima ha successivamente inserito le credenziali dell’account Microsoft in un form web e scaricato da un sito tre file, uno dei quali era un installer MSI che ha installato una DLL usata per stabilire la connessione al server C2 (command and control).
Altri payload scoperti da Microsoft sono stati utilizzati per nascondere il traffico di rete e istallare l’infostealer RustyStealer che può rubare credenziali e cookie di sessione, consentendo in pratica il controllo totale dell’account. Fortunatamente, i tentativi di login dei cybercriminali sono falliti. Il DART dell’azienda di Redmond ha ripulito il computer e verificato l’assenza di meccanismi di persistenza.
Come dimostra questo caso, gli attacchi di ingegneria sociale sono molto frequenti. Il successo è spesso garantito, nonostante le protezioni di sicurezza. Microsoft consiglia di limitare le collaborazioni esterne e bloccare le telefonate tramite allowlist. Si dovrebbero anche rimuovere o disattivare i tool di accesso remoto, come Quick Assist, se non necessari.
Ti potrebbe interessare
17 mar 2026