Teams-samtal från "IT-support" — så komprometteras hela företaget
Microsoft DART avslöjar hur angripare ringer via Teams, tar över via Quick Assist och installerar bakdörrar. Så skyddar du ditt företag.
Microsoft DART publicerade förra veckan en detaljerad rapport om en attack som börjar med ett Teams-röstsamtal. Angriparen utgav sig för att vara IT-support, ringde tre anställda och lyckades till slut övertala en att starta Quick Assist och dela sin skärm.
Därifrån gick det snabbt. Angriparen styrde offret till en falsk webbsida, fångade upp inloggningsuppgifter och laddade ner ett trojaniserat MSI-paket som etablerade en bakdörr via DLL-sidoladdning — allt genom legitima Windows-mekanismer som inte triggar vanliga antivirus.
Vem ligger bakom?
Microsoft kopplar aktiviteten till Storm-1811, en hotaktör med kopplingar till Black Basta-ransomware. Det här är inte ett riktat angrepp mot storföretag — det är en skalbar metod som fungerar precis lika bra mot ett 20-personsföretag i Sverige.
Varför det här träffar svenska SMB-företag hårt
Teams är standardkommunikation för de flesta M365 Business Premium-kunder. Quick Assist finns inbyggt i Windows och är aktiverat som standard. Kombinationen gör det enkelt för en angripare att få fotfäste utan att behöva skicka ett enda phishing-mejl.
Till skillnad från e-post-baserade attacker passerar röstsamtal förbi Defender for Office 365, Safe Links och alla mejlfilter. Det finns inget automatiskt skydd mot en övertygande röst i telefonen.
Vad du bör göra nu
1. Stäng av Quick Assist för vanliga användare
Använd Intune Device Configuration för att blockera quickassist.exe. Behöver IT-teamet fjärrsupport? Använd Remote Help i Intune istället — det kräver autentisering och loggas.
2. Begränsa externa samtal i Teams Gå till Teams Admin Center → External Access och stäng av eller begränsa vilka domäner som kan ringa era användare. Överväg att blockera externa röstsamtal helt om verksamheten inte kräver det.
3. Rulla ut phishing-resistent MFA
Om angriparen fångar lösenord via en falsk inloggningssida hjälper inte SMS-baserad MFA. Passkeys eller FIDO2-nycklar i Entra ID stoppar credential phishing helt.
4. Kör en vishing-övning De flesta säkerhetsutbildningar fokuserar på mejl. Lägg till ett scenario med Teams-samtal i nästa awareness-session.
Hur vi kan hjälpa
Vi erbjuder en Teams Security Quick Check (1-2h) där vi går igenom Quick Assist-status, extern åtkomst och samtalsrestriktioner i er tenant. Vill du att vi kollar er miljö? Kontakta oss.