nulltropic

NULLTROPIC

CEO Fraud via Microsoft Teams — Contas de Convidado como Vetor de Ataque

O cenário de fraudes corporativas passou por uma mutação silenciosa nos últimos dois anos. O CEO Fraud, que por décadas foi um problema restrito ao email, migrou para o Microsoft Teams — e o vetor não é uma vulnerabilidade exótica, mas sim uma funcionalidade legítima: as contas de convidado (guest accounts). Um deep research conduzido em 31/05/2026, com 31 fontes primárias e análise de 5 sub-temas, revela um ecossistema de ameaças maduro, com atores estatais, access brokers financeiros e ferramentas de automação disponíveis publicamente.

A Arquitetura do Ataque: Três Camadas de Exploração

A técnica explora três camadas da arquitetura do Microsoft Teams: uma configuração padrão insegura, uma lacuna arquitetural de segurança, e vulnerabilidades técnicas já reveladas.

1. “Chat with Anyone” — A Superfície de Ataque

Desde junho de 2022, o Microsoft Teams permite que qualquer usuário, mesmo sem conta Teams, inicie chats com qualquer endereço de email corporativo. A funcionalidade MC1182004 vem habilitada por padrão. A consequência é simples: um atacante precisa apenas de um email corporativo válido para iniciar uma conversa. Não há necessidade de vulnerabilidade — a funcionalidade é legítima.

2. O Gap Arquitetural: B2B Guest Access

Pesquisa da Ontinue (2025) identificou uma lacuna crítica na arquitetura de identidade do Microsoft 365. Quando um usuário aceita um convite como guest em um tenant externo, as políticas de segurança do tenant anfitrião (do atacante) governam a sessão — não as do tenant de origem do usuário. Isso significa que proteções como Safe Links, Safe Attachments, Zero-Hour Auto Purge (ZAP) e políticas anti-phishing simplesmente não se aplicam.

O fluxo do atacante é direto: cria um tenant Microsoft 365 barato (Teams Essentials ou trial) sem licenças Defender, inicia um chat externo com o email da vítima, e o convite oficial chega via [email protected] — passando SPF, DKIM e DMARC por vir da infraestrutura legítima da Microsoft. Quando a vítima aceita, está em um ambiente desprotegido, controlado pelo atacante.

3. As 4 Vulnerabilidades do Check Point

Em novembro de 2025, a Check Point Research revelou quatro vulnerabilidades no Teams, reportadas à Microsoft em março de 2024 e que levaram 19 meses para correção completa:

  • Message Editing sem “Edited” — alterar conteúdo de mensagem sem deixar rastro (corrigido mai/2024)
  • Notification Spoofing (CVE-2024-38197) — forjar nome do remetente na notificação pop-up, exibindo “CEO” (corrigido set/2024)
  • Display Name em Private Chats — renomear chat 1:1 para enganar o usuário (corrigido jul/2024)
  • Caller Identity em Chamadas — forjar nome do chamador em chamadas áudio/vídeo (corrigido out/2025)

Com essas técnicas, um invasor consegue aparecer como CEO ou Diretor Financeiro em chamadas e chats — CEO Fraud puro, sem engenharia social inicial.

O Ecossistema de Atores

A técnica não é explorada por um único grupo. Quatro categorias de atores foram identificados utilizando contas de convidado no Teams como vetor primário ou secundário.

Storm-0324: O Pioneiro

Access broker financeiro que, em julho de 2023, foi o primeiro a usar o TeamsPhisher — ferramenta open-source publicada por um pesquisador da US Navy. Seu modus operandi: envia mensagens no Teams com links para SharePoint malicioso, que distribui JSSLoader (.NET). O acesso é vendido para grupos de ransomware como Sangria Tempest (FIN7).

APT29 — Midnight Blizzard: O Estado

O grupo APT russo (SVR) começou a usar Teams em agosto de 2023. Sua técnica é mais sofisticada: comprometem tenants legítimos de pequenas empresas do M365, renomeiam o tenant com subdomínios como azuresecuritycenter.onmicrosoft.com, e se passam por suporte técnico da Microsoft para solicitar o código do Microsoft Authenticator — roubando tokens MFA. O incidente mais notório foi a invasão da própria Microsoft em janeiro de 2024.

UNC6692 — SNOW Malware: A Nova Geração

Descoberto pela Mandiant/GTIG em abril de 2026, o UNC6692 opera com um playbook em múltiplos estágios: email bombing para criar urgência, impersonação de helpdesk via Teams, link para página AWS S3 falsificada (“Mailbox Repair Utility”), e instalação da suíte SNOW Malware — composta por SNOWBELT (extensão Chromium C2), SNOWGLAZE (túnel WebSocket) e SNOWBASIN (bindshell).

O Playbook Completo em 9 Estágios

A Microsoft DART documentou em abril de 2026 uma intrusão real observada em novembro de 2025, revelando o playbook completo cross-tenant:

  1. Teams Chat Externo — invasor inicia chat cross-tenant como “Suporte TI”
  2. Quick Assist — usuário concede acesso remoto digitando código
  3. Recon — whoami, hostname, net user, ipconfig (30-120 segundos)
  4. DLL Side-loading — programas assinados carregam DLLs maliciosas (ex: msi.dll via AcroServicesUpdater)
  5. Loader via Registry — dados C2 criptografados em registro (UCID, UFID)
  6. C2 — beaconing HTTPS para endpoints cloud
  7. Movimento Lateral — WinRM (porta 5985) para Domain Controllers
  8. Persistência RMM — Level RMM via msiexec.exe
  9. Exfiltração — Rclone para cloud storage externo

“Confiança é o ponto fraco: atores exploram confiança, não falhas técnicas.” — Microsoft DART, Abr 2026

O Fator Financeiro: Deepfake + Teams

Os números do FBI IC3 são estarrecedores: US$ 55,5 bilhões em perdas acumuladas de BEC entre outubro de 2013 e dezembro de 2023. Só em 2025, foram US$ 3,04 bilhões. Mas o dado mais preocupante é que 40% dos ataques BEC já incorporam deepfake de voz, vídeo ou texto, com perda média de US$ 4,1 milhões por incidente — contra US$ 1,3 milhão do phishing tradicional. O crescimento de tentativas de deepfake foi de 2.137% nos últimos três anos, com ferramentas disponíveis por menos de US$ 100 no mercado negro.

Defesas e Mitigação

As medidas de proteção se organizam em três camadas: configuração do Microsoft 365, ferramentas de segurança, e conscientização.

Configurações Críticas no Microsoft 365

  • Prioridade crítica: Restringir external collaboration a domínios confiáveis (allowlist) em Entra ID → External Identities → Cross-tenant access settings
  • Prioridade crítica: Cross-Tenant Access Policies (CTAP) bloqueando B2B por padrão
  • Prioridade alta: Desabilitar “Chat with anyone” via Teams Admin → Messaging Policies
  • Prioridade alta: Bloquear convites B2B de saída com Set-CsTeamsMessagingPolicy -UseB2BInvitesToAddExternalUsers $false
  • Prioridade alta: Restringir External Access a domínios confiáveis

Hunting com KQL

Para correlação entre atividade no Teams e ferramentas de acesso remoto, utilize a seguinte query no Microsoft 365 Defender:

let _timeFrame = 30m;
let _teams = MessageEvents
| where Timestamp > ago(14d)
| extend Recipient = parse_json(RecipientDetails)
| mv-expand Recipient
| extend VictimAccountObjectId = tostring(Recipient.RecipientObjectId)
| project TTime = Timestamp, SenderDisplayName, VictimAccountObjectId;
let _rmm = DeviceProcessEvents
| where Timestamp > ago(14d)
| where FileName in~ ("QuickAssist.exe", "AnyDesk.exe", "TeamViewer.exe")
| extend VictimAccountObjectId = tostring(InitiatingProcessAccountObjectId)
| project DeviceName, QTime = Timestamp, RmmTool = FileName, VictimAccountObjectId;
_teams
| join kind=inner _rmm on VictimAccountObjectId
| where QTime between ((TTime) .. (TTime + (_timeFrame)))

Para detectar os loaders que persistem C2 via registro, monitore chaves contendo UCID, UFID ou XJ01:

DeviceRegistryEvents
| where RegistryKey contains "UCID" or RegistryKey contains "UFID" or RegistryKey contains "XJ01"

Defender para Endpoint

  • ASR Rules: Bloquear DLL side-loading a partir de diretórios como ProgramData
  • WDAC (Windows Defender Application Control): Permitir apenas aplicações autorizadas
  • Defender for Cloud Apps: Controlar sessões de apps não gerenciados com Conditional Access App Control

Recomendações para o CSIRT

Para equipes de segurança que operam com stack SIEM/SOAR, as ações recomendadas são:

  1. Criar playbook de resposta específico para “Teams Guest Account Phishing”
  2. Correlação no SIEM: Alertar quando uma requisição de chat Teams externa for seguida por execução de Quick Assist, AnyDesk ou TeamViewer dentro de uma janela de 30 minutos
  3. Automação: Monitorar convites B2B para domínios não autorizados via script ou n8n
  4. IOC Feeds: Incorporar subdomínios conhecidos de ataque (msftprotection.onmicrosoft.com, azuresecuritycenter.onmicrosoft.com e similares) nas listas de bloqueio de external collaboration
  5. Treinamento: Incluir o tema no próximo tabletop exercise com C-Level, simulando um chamado de helpdesk falso via Teams

Conclusão

O CEO Fraud via Teams com contas de convidado não é uma vulnerabilidade isolada — é a convergência de múltiplos gaps na arquitetura de confiança do ecossistema Microsoft 365: uma feature insegura por padrão, uma lacuna arquitetural no B2B Guest Access, vulnerabilidades já reveladas e, principalmente, a exploração da confiança humana. O fato de que ferramentas como TeamsPhisher são open-source e que plataformas PhaaS como o Kali365 (alertado pelo FBI em maio de 2026) reduzem a barreira técnica para atacantes indica que este vetor continuará crescendo.

A proteção eficaz depende de agir nas três camadas simultaneamente: reconfigurar o Microsoft 365 para bloquear colaboração externa não autorizada, implementar hunting ativo para correlação Teams + RMM, e treinar usuários para desconfiar de qualquer contato não solicitado — mesmo que pareça vir do próprio TI.

Pesquisa e análise: N00TROP1C — NULLTROPIC, 2026. Fontes: Microsoft DART, Check Point Research, Mandiant/GTIG, FBI IC3, Ontinue, e 27 outras referências.

N00-AI

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *