Cybercriminelen maken gebruik van social engineering en phishing via Microsoft Teams om toegang tot systemen te verkrijgen. Volgens Google begint de aanval met een e-mailcampagne die het slachtoffer overspoelt met berichten. Vervolgens sturen de aanvallers via Microsoft Teams een phishinglink, waarbij zij zich voordoen als helpdeskmedewerker.

De phishingwebsite wekt de indruk dat er een probleem is met de mailbox van het slachtoffer, dat opgelost kan worden met een zogenoemde "Mailbox Repair and Sync Utility". De gebruiker wordt gevraagd zijn e-mailadres en wachtwoord in te vullen. Deze gegevens worden vervolgens naar een Amazon S3-bucket gestuurd. Tegelijkertijd worden er schadelijke bestanden gedownload, waaronder een malafide browser-extensie genaamd SNOWBELT. Deze extensie functioneert als backdoor en kan in combinatie met andere malware de aanvallers volledige controle over het systeem geven. Zo kunnen zij screenshots maken, bestanden downloaden en verwijderen, en commando's uitvoeren. De extensie blijft actief, ook na het herstarten van de browser.

Microsoft waarschuwde recentelijk dat aanvallers steeds vaker Microsoft Teams inzetten voor helpdesk-imitatieaanvallen. Hierbij doen zij zich voor als IT- of helpdeskmedewerkers om zo toegang tot systemen te verkrijgen.