Los usuarios corporativos son más conscientes de los ataques de phishing en sus buzones. Sin embargo, no están acostumbrados a ser atacados a través de otros sistemas como Microsoft Teams. Aprende como protegerte a ti mismo.
Investigadores de Avanan, una empresa de Check Point, han Anunciado el descubrimiento de ataques que explotan la plataforma de comunicación Microsoft Teams para infectar a usuarios corporativos.
Cómo los ataques consiguieron su punto de apoyo inicial
Microsoft Teams es una plataforma popular adoptada por muchas empresas en todo el mundo, parte de la familia de productos Microsoft 365. Esta plataforma permite a sus usuarios realizar conferencias de audio y video, chatear en múltiples canales e intercambiar archivos entre usuarios y grupos de usuarios.
Desde la perspectiva del ciberespionaje, suena como una mina de oro, ya que obtener acceso a la plataforma Teams de una empresa objetivo significaría tener acceso a todas las conversaciones de los diferentes canales, que pueden contener información muy confidencial o propiedad intelectual. También puede contener archivos confidenciales compartidos entre sus usuarios. Sin embargo, también es interesante para los ciberdelincuentes motivados financieramente, ya que podrían capturar datos interesantes dentro de Teams, lo que podría permitirles cometer más fraudes, como obtener información de tarjetas de crédito, por ejemplo.
Para lograr acceder a la plataforma de Teams, lo único que necesita el atacante son credenciales válidas de uno de los empleados de la entidad objetivo. Como mencionó Avanan, esto se puede hacer obteniendo las credenciales de correo electrónico de cualquier usuario, lo que a menudo se hace mediante la ejecución de campañas de phishing.
Por supuesto, los atacantes también pueden simplemente comprar credenciales válidas de intermediarios de acceso inicial o usar la ingeniería social para apuntar a un usuario en particular y lograr obtener su contraseña corporativa.
Infección a través de Teams
Una vez que un atacante ha obtenido una credencial de correo electrónico válida, puede iniciar sesión en la plataforma Teams de la empresa.
Aquí es donde Avanan ha visto miles de ataques por mes. El atacante opera colocando archivos ejecutables (.exe) llamados «UserCentric.exe» en diferentes conversaciones de Teams, siendo el ejecutable un archivo malicioso, generalmente un troyano. El archivo escribe datos en el registro de Windows, instala archivos DLL y crea enlaces de acceso directo que permiten que el programa se autoadministre y tome el control de las computadoras.
Avanan no mencionó el objetivo final de infectar a los usuarios con este malware, pero podemos sospechar que es permitir a los atacantes obtener más datos de la red interna de su objetivo u obtener acceso completo a las computadoras dentro de la red. Este conocimiento podría, a su vez, usarse para fraude financiero o ciberespionaje.
¿Un objetivo perfecto?
Microsoft Teams no tiene un sistema de detección de enlaces maliciosos, y solo tiene un motor común de detección de virus. Los usuarios, desde que se conectan a una plataforma provista por sus empresas, tienden a confiar sistemáticamente en todo lo que se comparte en ella, en una falsa sensación de “aquí todo es seguro”.
Esa confianza atrae a los usuarios a compartir muchos más datos de lo que normalmente harían en una plataforma con la que no están familiarizados, desde el punto de vista de la seguridad.
Los atacantes no solo pueden colocar enlaces infectados o archivos directos en los diferentes canales de chat, sino que también pueden chatear en privado con cualquier usuario y usar habilidades de ingeniería social para infectarlos.
Muy pocos usuarios se preocuparán por guardar los archivos obtenidos en sus discos duros e iniciar productos antivirus o de detección de amenazas antes de abrirlos.
Al ver miles de ataques de este tipo, Avanan dijo que espera un aumento significativo de este tipo de ataques en el futuro.
Cómo protegerse de un ataque de Teams
Para empezar, por supuesto, se debe hacer todo lo posible para proteger las credenciales de correo electrónico de cada usuario.
Además, esto es lo que debe hacer TI con respecto a la amenaza específica de Teams informada en este artículo:
- Habilite la autenticación de dos factores en las cuentas de Microsoft utilizadas para Teams para que los usuarios necesiten usar una validación en sus teléfonos.
- Implemente seguridad adicional para cada archivo que se coloca en el SharePoint carpetas relacionadas con Teams. Todos los archivos deben compararse con una solución de detección de amenazas. Sus hashes criptográficos también podrían enviarse a VirusTotal para comprobar si el archivo ya es conocido y clasificado como malicioso o no.
- Implemente seguridad adicional para cada enlace que se copia en Teams. Si es posible, utilice varios servicios de reputación de enlaces para comprobar si el enlace es seguro o no.
- Sensibilizar a los empleados. De la misma manera que se crea conciencia sobre los ataques de phishing y todas las amenazas de correo electrónico, se debe informar a los empleados sobre los riesgos de las plataformas de comunicación y uso compartido.
Divulgar: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.