Google Threat Intelligence Group popsal novou (dosud neznámou) skupinu útočníků, která kombinuje osvědčené sociální inženýrství v Microsoft Teams s vlastním malwarem pro krádež dat. V prosinci 2025 rozjela rozsáhlou e‑mailovou kampaň: nejprve oběti „utopila“ v záplavě e‑mailů a následně se přes Teams ozval údajný pracovník helpdesku s nabídkou pomoci.
Pod záminkou instalace „lokální záplaty“ proti spamu útočník přesměruje uživatele na falešnou stránku „Mailbox Repair Utility“. Tlačítko Health Check vyžádá přihlášení e‑mailem a heslem – a tím útočníci získají přihlašovací údaje. Stránka navíc používá trik „dvojího zadání“: první i druhý pokus o heslo záměrně označí jako chybný. Tím oběť utvrdí, že jde o legitimní systém (který „ověřuje“ heslo), a zároveň útočník získá heslo dvakrát, takže se sníží riziko překlepu.
Google tuto skupinu sleduje jako UNC6692 a říká, že i když taktiky připomínají jiné gangy, podle analýzy s nimi přímo nesouvisí. Celkově je to další připomínka, jak přesvědčivě dnes útočníci kombinují manipulaci uživatelů s legitimními cloudovými službami a nástroji, aby se dostali do firemních prostředí.
Zdroje:
THE REGISTER | Crime crew impersonates help desk, abuses Microsoft Teams to steal your data
BleepingComputer | Threat actor uses Microsoft Teams to deploy new “Snow” malware
⚠️ Důležité upozornění: Tento článek byl vytvořen za pomoci AI COPILOT
Česká média:
CHIP.cz | Nebezpečí v Microsoft Teams: Falešná IT podpora krade firmám přístup. Stačí jedna zpráva
Podcast & blog by Pepik Hipik & Knižní kočka 