Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa.

Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”, validi solo per poche ore o pochi giorni, giusto il tempo necessario a distribuire il malware e infettare sistemi prima che la firma venga invalidata o segnalata come sospetta. È un approccio veloce e automatizzato che riduce la possibilità che i controlli di sicurezza basati sulla reputazione abbiano il tempo di reagire.

La catena di compromissione, passo dopo passo

L’intero attacco, come analizzato dai ricercatori di Conscia, può essere visto come una catena di compromissione composta da fasi distinte ma strettamente collegate.

1. Dall’annuncio al download
   Tutto parte da un annuncio sponsorizzato o un link alterato nei risultati dei motori di ricerca. L’utente clicca e viene dirottato su una sequenza di redirect (es. team.frywow[.]com → teams-install[.]icu), fino ad arrivare alla pagina che propone l’installer fasullo. In questa fase i segnali sospetti sono già presenti: URL anomali, domini con TLD rari come .icu, redirect multipli.
2. L’illusione del file firmato
   L’utente scarica MSTeamsSetup.exe nella cartella Downloads e lo esegue. A colpo d’occhio, il file sembra legittimo perché porta una firma digitale. Ma se si va a vedere meglio, il certificato è stato emesso da un’entità mai vista prima e ha una validità ridicolmente breve, spesso inferiore alle 72 ore. Questo è il primo vero campanello d’allarme.
3. Il loader che apre la strada
   Una volta avviato, l’installer non fa ciò che promette. Al contrario, esegue un loader che scarica e deposita componenti aggiuntivi, spesso in cartelle come %APPDATA%\Microsoft\Teams\ o %TEMP%. Per garantire che il codice malevolo si riattivi anche al riavvio, vengono create chiavi di registro (HKCU\…\Run) o attività pianificate con nomi rassicuranti come TeamsUpdate. Sono piccoli dettagli che però, se osservati in un ambiente aziendale, fanno la differenza tra un falso allarme e una compromissione reale.
4. Evasione e comunicazione col C2
   Per sfuggire ai controlli, il malware sfrutta strumenti già presenti in Windows: PowerShell con comandi encoded, rundll32 e regsvr32. Questi strumenti, usati in contesti sospetti, permettono di eseguire codice senza attirare troppa attenzione. Subito dopo, il loader prova a contattare il server di comando e controllo — ad esempio nickbush24[.]com — utilizzando richieste HTTPS che imitano il traffico di un browser reale. Questo traffico verso domini nuovi o poco noti è un altro indicatore importante.

Segnali da non ignorare

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ogni fase lascia tracce osservabili che possono essere rilevate se si sa cosa cercare:

• Un certificato valido meno di 72 ore, emesso da un ente sconosciuto.
• Chiavi di registro o scheduled task con nomi legati a “update” o “Teams”.
• Comandi PowerShell con -EncodedCommand o uso anomalo di rundll32/regsvr32.
• Connessioni outbound verso domini con TLD rari o registrati di recente.

Non è un singolo segnale che fa la differenza, ma la combinazione: se almeno due o tre di questi elementi si verificano insieme, è molto probabile di trovarsi davanti a questa specifica catena malevola.

Come difendersi in pratica

Per ridurre i rischi, è fondamentale agire su più livelli. Alcune misure concrete:

• Rafforzare le regole ASR in Microsoft Defender, in particolare quelle che impediscono l’esecuzione di file scaricati dal web e il lancio di processi sospetti da applicazioni Office o browser.
• Monitorare i certificati: segnalare automaticamente i binari firmati da enti non riconosciuti o con certificati validi pochi giorni.
• Integrare feed di threat intelligence per individuare connessioni verso domini appena registrati o con reputazione bassa.

Formare gli utenti: spiegare di scaricare Teams solo dal portale ufficiale Microsoft e di diffidare degli annunci sponsorizzati nei motori di ricerca.

Infine, avere un playbook di risposta agli incidenti pronto è essenziale: isolamento dell’endpoint, raccolta delle evidenzie (hash, chiavi di registro, scheduled task), verifica delle connessioni di rete e rotazione immediata delle credenziali compromesse.

Perché è un attacco diverso dal solito

Quello che rende questa campagna particolarmente pericolosa non è tanto la complessità tecnica, quanto la velocità. Gli attaccanti hanno imparato ad automatizzare il ciclo di vita: creano un certificato, registrano un dominio, distribuiscono il file, raccolgono dati e cambiano tutto di nuovo — spesso nell’arco di poche ore.

Per i difensori, questo significa che non si può più contare soltanto sui feed di minacce che arrivano con ritardo. Servono telemetria in tempo reale, regole comportamentali e capacità di risposta automatizzata. È una corsa contro il tempo, e la velocità del SOC diventa il fattore decisivo.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piazzolla

Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli