Uma nova cadeia de ataques vem explorando recursos legítimos do Microsoft Teams e do Quick Assist para se passar por equipes internas de suporte e obter acesso remoto a máquinas corporativas. A técnica foi descrita pela Microsoft como parte de intrusões operadas por humanos que começam com engenharia social e podem evoluir para movimento lateral e exfiltração de dados.
O ponto de partida é o uso da colaboração externa no Teams. Os invasores entram em contato com funcionários fingindo ser do help desk, geralmente em contexto de urgência, para induzir a vítima a aceitar uma sessão remota ou seguir orientações que aparentam fazer parte de um atendimento técnico legítimo.
O Quick Assist, ferramenta nativa do Windows voltada a suporte remoto, aparece como peça central dessa abordagem. Por ser um recurso conhecido e assinado, seu uso reduz suspeitas do usuário e pode dificultar a percepção inicial de que se trata de uma invasão em andamento.
Segundo a Microsoft, a ameaça não se limita ao acesso inicial. Depois de conquistar a confiança da vítima, os operadores podem empregar ferramentas administrativas e protocolos já presentes no ambiente para ampliar privilégios, circular pela rede e preparar a retirada de informações sensíveis sem chamar atenção.
Esse tipo de operação se destaca justamente por misturar abuso de plataforma corporativa, engenharia social e comportamento semelhante ao de equipes reais de TI. Em vez de depender apenas de malware ostensivo, o ataque se apoia em atividades que podem parecer rotineiras para usuários e analistas menos atentos.
O risco é maior em organizações que permitem comunicação externa ampla no Teams e não mantêm controles rígidos para ferramentas de assistência remota. Ambientes com validação informal de chamados ou processos de suporte pouco padronizados tendem a oferecer terreno mais favorável para a fraude.
