A equipe de inteligência de ameaças da Microsoft relatou a observação de um grupo de cibercriminosos, identificado como Storm-1811, que está abusando da ferramenta de gerenciamento de clientes Quick Assist para realizar ataques de engenharia social.

“Storm-1811 é um grupo de cibercriminosos motivados financeiramente, conhecido por implantar o ransomware Black Basta”, disse a empresa em um relatório publicado em 15 de maio de 2024. A cadeia de ataque envolve a utilização de técnicas de personificação através de voice phishing para enganar as vítimas e levá-las a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguidas pela entrega do QakBot, Cobalt Strike e, finalmente, do ransomware Black Basta.

“Os atores da ameaça abusam dos recursos do Quick Assist para realizar ataques de engenharia social, fingindo ser um contato confiável, como o suporte técnico da Microsoft ou um profissional de TI da empresa da vítima, para obter acesso inicial ao dispositivo alvo”, explicou a Microsoft.

Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilharem seus dispositivos Windows ou macOS com outra pessoa via conexão remota, principalmente com o intuito de solucionar problemas técnicos. Ele vem instalado por padrão em dispositivos que executam o Windows 11.