A campanha de ameaças em andamento, chamada VEILDrive, utiliza serviços legítimos da Microsoft, como Teams, SharePoint, Quick Assist e OneDrive, para escapar de sistemas de detecção e distribuir malware de forma furtiva. Segundo pesquisadores, o ataque explora a infraestrutura confiável de organizações previamente comprometidas para realizar ataques de spear-phishing e armazenar malware. A estratégia da campanha baseia-se no uso de serviços de nuvem da Microsoft, permitindo ao invasor evitar os sistemas convencionais de monitoramento. VEILDrive foi descoberta em setembro de 2024, após uma investigação de cibersegurança em uma organização de infraestrutura crítica nos Estados Unidos, com o ataque iniciado em agosto e culminando na implantação de um malware em Java que usa o OneDrive como canal de comando e controle (C2).

Os responsáveis pelo VEILDrive enviaram mensagens via Microsoft Teams para quatro funcionários da organização alvo, disfarçando-se como membros da equipe de TI e solicitando acesso remoto aos sistemas utilizando o Quick Assist. Um detalhe notável desse método de comprometimento foi o uso de uma conta pertencente a uma vítima anterior, o que deu credibilidade à abordagem, dispensando a criação de novas contas. Através do recurso de “Acesso Externo” do Teams, que permite comunicações diretas com outras organizações por padrão, os atacantes conseguiram enviar links para downloads no SharePoint, onde os funcionários receberam um arquivo ZIP (“Client_v8.16L.zip”) hospedado em um inquilino diferente, contendo a ferramenta de acesso remoto LiteManager.

Com o acesso via Quick Assist, os invasores configuraram tarefas agendadas para executar o LiteManager periodicamente. Além disso, o malware possui um mecanismo de fallback que estabelece uma conexão HTTPS com uma máquina virtual remota no Azure, usada para receber e executar comandos por meio do PowerShell.