网络犯罪分子冒充IT支持人员，使用虚假电话和Microsoft Teams消息通过电子邮件洪流和远程访问诱骗用户安装勒索软件。

Trend Micro的网络安全研究人员警告称，一种新的骗局正在上演，网络犯罪分子会假扮成技术支持人员，以入侵受害者的计算机。但这并非又一种垃圾邮件骗局；攻击者会大量发送邮件到收件箱，甚至通过Microsoft Teams诱骗人们登录。一旦进入，他们就会部署来自Black Basta和Cactus等组织的勒索软件。

工作原理如下：
受害者首先会收到大量电子邮件。不久之后，有人自称来自IT部门，通过Microsoft Teams甚至电话联系他们。然后，这个“帮手”会说服用户授予他们远程访问计算机的权限，通常使用Windows内置的合法程序Quick Assist ，以提供远程技术支持。

一旦进入系统，诈骗者就会下载看似无害的文件，但这些文件会被秘密组合和解压，以安装名为BackConnect的后门。该后门隐藏在OneDrive中，使攻击者能够完全控制受感染的系统。

值得注意的是，Black Basta团伙曾在2024年12月因类似的作案手法而被标记，他们使用电子邮件轰炸来攻击Microsoft Teams用户。然而，当时该组织部署的是Zbot和DarkGate恶意软件。

根据趋势科技的最新技术报告，该公司分析的近期事件表明，BackConnect恶意软件与臭名昭著的Black Basta勒索软件组织之间存在紧密联系，据报道，该组织在2023年从受害者那里赚取了超过1亿美元。甚至有证据表明，一些Black Basta成员已经转向另一个名为Cactus的勒索软件团伙，因为最近的Cactus攻击中使用的方法惊人地相似。

这些攻击自2024年10月以来尤为活跃，主要针对北美的组织，其中美国遭受的打击最大。制造业，其次是金融、投资咨询和房地产，是Black Basta经常攻击的目标。

在某些情况下，攻击者在建立后门后，会使用更先进的方法通过网络传播，甚至会针对用于运行虚拟机的ESXi主机等专用系统。他们使用WinSCP等工具移动文件，并被发现准备加密文件，然后才被阻止。Black Basta泄露的内部聊天记录显示，该组织将Trend Micro等安全工具视为重大障碍，表明他们正在积极寻找绕过这些工具的方法。

这些攻击之所以有效，并不一定是因为所用软件的复杂性，而是攻击者操纵人们的方式。通过将社交工程与滥用正版软件和云服务相结合，他们使自己的恶意行为看起来像正常的计算机活动。这凸显了网络安全不仅在于拥有正确的软件，还在于意识到犯罪分子如何试图欺骗人们。

如果您是Microsoft Teams用户，如果突然收到大量电子邮件，请不要惊慌。相反，请联系您的系统管理员，确保立即阻止这些电子邮件并定期扫描您的设备。向您的网络安全团队报告任何来自冒充“帮手”的未知第三方的可疑电子邮件或电话。