Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download

Antonio Piazzolla : 29 Settembre 2025 07:21

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa.

Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”, validi solo per poche ore o pochi giorni, giusto il tempo necessario a distribuire il malware e infettare sistemi prima che la firma venga invalidata o segnalata come sospetta. È un approccio veloce e automatizzato che riduce la possibilità che i controlli di sicurezza basati sulla reputazione abbiano il tempo di reagire.

La catena di compromissione, passo dopo passo

L’intero attacco, come analizzato dai ricercatori di Conscia, può essere visto come una catena di compromissione composta da fasi distinte ma strettamente collegate.

1. Dall’annuncio al download
   Tutto parte da un annuncio sponsorizzato o un link alterato nei risultati dei motori di ricerca. L’utente clicca e viene dirottato su una sequenza di redirect (es. team.frywow[.]com → teams-install[.]icu), fino ad arrivare alla pagina che propone l’installer fasullo. In questa fase i segnali sospetti sono già presenti: URL anomali, domini con TLD rari come .icu, redirect multipli.
2. L’illusione del file firmato
   L’utente scarica MSTeamsSetup.exe nella cartella Downloads e lo esegue. A colpo d’occhio, il file sembra legittimo perché porta una firma digitale. Ma se si va a vedere meglio, il certificato è stato emesso da un’entità mai vista prima e ha una validità ridicolmente breve, spesso inferiore alle 72 ore. Questo è il primo vero campanello d’allarme.
3. Il loader che apre la strada
   Una volta avviato, l’installer non fa ciò che promette. Al contrario, esegue un loader che scarica e deposita componenti aggiuntivi, spesso in cartelle come %APPDATA%\Microsoft\Teams\ o %TEMP%. Per garantire che il codice malevolo si riattivi anche al riavvio, vengono create chiavi di registro (HKCU\…\Run) o attività pianificate con nomi rassicuranti come TeamsUpdate. Sono piccoli dettagli che però, se osservati in un ambiente aziendale, fanno la differenza tra un falso allarme e una compromissione reale.
4. Evasione e comunicazione col C2
   Per sfuggire ai controlli, il malware sfrutta strumenti già presenti in Windows: PowerShell con comandi encoded, rundll32 e regsvr32. Questi strumenti, usati in contesti sospetti, permettono di eseguire codice senza attirare troppa attenzione. Subito dopo, il loader prova a contattare il server di comando e controllo — ad esempio nickbush24[.]com — utilizzando richieste HTTPS che imitano il traffico di un browser reale. Questo traffico verso domini nuovi o poco noti è un altro indicatore importante.

Segnali da non ignorare

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ogni fase lascia tracce osservabili che possono essere rilevate se si sa cosa cercare:

• Un certificato valido meno di 72 ore, emesso da un ente sconosciuto.
• Chiavi di registro o scheduled task con nomi legati a “update” o “Teams”.
• Comandi PowerShell con -EncodedCommand o uso anomalo di rundll32/regsvr32.
• Connessioni outbound verso domini con TLD rari o registrati di recente.

Non è un singolo segnale che fa la differenza, ma la combinazione: se almeno due o tre di questi elementi si verificano insieme, è molto probabile di trovarsi davanti a questa specifica catena malevola.

Come difendersi in pratica

Per ridurre i rischi, è fondamentale agire su più livelli. Alcune misure concrete:

• Rafforzare le regole ASR in Microsoft Defender, in particolare quelle che impediscono l’esecuzione di file scaricati dal web e il lancio di processi sospetti da applicazioni Office o browser.
• Monitorare i certificati: segnalare automaticamente i binari firmati da enti non riconosciuti o con certificati validi pochi giorni.
• Integrare feed di threat intelligence per individuare connessioni verso domini appena registrati o con reputazione bassa.

Formare gli utenti: spiegare di scaricare Teams solo dal portale ufficiale Microsoft e di diffidare degli annunci sponsorizzati nei motori di ricerca.

Infine, avere un playbook di risposta agli incidenti pronto è essenziale: isolamento dell’endpoint, raccolta delle evidenzie (hash, chiavi di registro, scheduled task), verifica delle connessioni di rete e rotazione immediata delle credenziali compromesse.

Perché è un attacco diverso dal solito

Quello che rende questa campagna particolarmente pericolosa non è tanto la complessità tecnica, quanto la velocità. Gli attaccanti hanno imparato ad automatizzare il ciclo di vita: creano un certificato, registrano un dominio, distribuiscono il file, raccolgono dati e cambiano tutto di nuovo — spesso nell’arco di poche ore.

Per i difensori, questo significa che non si può più contare soltanto sui feed di minacce che arrivano con ritardo. Servono telemetria in tempo reale, regole comportamentali e capacità di risposta automatizzata. È una corsa contro il tempo, e la velocità del SOC diventa il fattore decisivo.

Antonio Piazzolla
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli