Los actores de amenazas se están infiltrando en la aplicación de colaboración cada vez más popular para adjuntar archivos maliciosos a los hilos de chat que arrojan malware que secuestra el sistema
Los investigadores han encontrado que los actores de amenazas se dirigen a los usuarios de Microsoft Teams mediante la plantación de documentos maliciosos en hilos de chat que ejecutan troyanos que, en última instancia, pueden apoderarse de las máquinas de los usuarios finales.
En enero, los investigadores de Avanan, una compañía de Check Point, comenzaron a rastrear la campaña, que arroja archivos ejecutables maliciosos en las conversaciones de Teams que, cuando se hace clic en ellos, eventualmente se apoderan de la computadora del usuario, según un informe publicado el jueves.“Usando un archivo ejecutable, o un archivo que contiene instrucciones para que el sistema lo ejecute, los piratas informáticos pueden instalar archivos DLL y permitir que el programa se autoadministre y tome el control de la computadora”, escribió el investigador y analista de seguridad cibernética de Avanan Jeremy Fuchs en un reporte. “Al adjuntar el archivo a un ataque de Teams, los piratas informáticos han encontrado una nueva forma de dirigirse fácilmente a millones de usuarios”.
Durante mucho tiempo, los ciberdelincuentes se han centrado en la omnipresente suite de creación y uso compartido de documentos de Microsoft, el Office heredado y su versión basada en la nube, Office 365 , con ataques contra aplicaciones individuales en la suite, como PowerPoint , así como compromisos de correo electrónico comercial y otras estafas.Ahora, Microsoft Teams, una suite de comunicación y colaboración empresarial, está emergiendo como una superficie de ataque cada vez más popular para los ciberdelincuentes, dijo Fuchs.
Este interés podría atribuirse a su aumento en el uso durante la pandemia de COVID-19, ya que muchos empleados de la organización que trabajan de forma remota confiaron en la aplicación para colaborar. De hecho, la cantidad de usuarios activos diarios de Teams casi se duplicó durante el año pasado, aumentando de 75 millones de usuarios en abril de 2020 a 145 millones a partir del segundo trimestre de 2021, según Statista.
La última campaña contra Teams demuestra una mayor comprensión de la aplicación de colaboración que permitirá que los ataques en su contra aumenten tanto en sofisticación como en volumen, señaló Fuchs. “A medida que el uso de Teams continúa aumentando, Avanan espera un aumento significativo en este tipo de ataques”, escribió.
Enfrentando Equipos
Para plantar documentos maliciosos en Teams, los investigadores primero deben obtener acceso a la aplicación, señaló Fuchs. Esto es posible de varias maneras, generalmente involucrando un compromiso inicial de correo electrónico a través de phishing para obtener credenciales u otro acceso a una red, dijo.“Pueden comprometer a una organización asociada y escuchar chats entre organizaciones”, escribió Fuchs. “Pueden comprometer una dirección de correo electrónico y usarla para acceder a Teams. Pueden robar las credenciales de Microsoft 365, dándoles acceso de carta blanca a Teams y al resto de la suite de Office”.
Una vez que un atacante obtiene acceso a Teams, es bastante fácil navegar y pasar por alto cualquier protección de seguridad, señaló. Esto se debe a que "faltan las protecciones predeterminadas de Teams, ya que el análisis de enlaces y archivos maliciosos es limitado" y "muchas soluciones de seguridad de correo electrónico no ofrecen una protección sólida para Teams", escribió Fuchs.
Otra razón por la que Teams es fácil de comprometer para los piratas informáticos es que los usuarios finales confían inherentemente en la plataforma, compartiendo datos confidenciales e incluso confidenciales mientras la usan, dijo.“Por ejemplo, un análisis de Avanan de los hospitales que usan Teams descubrió que los médicos comparten la información médica de los pacientes prácticamente sin límites en la plataforma de Teams”, escribió Fuchs. “El personal médico generalmente conoce las reglas de seguridad y el riesgo de compartir información por correo electrónico, pero las ignora cuando se trata de Teams. En su mente, todo se puede enviar en Teams”.
Además, casi todos los usuarios de Teams pueden invitar a personas de otros departamentos u otras empresas a colaborar a través de la plataforma y, a menudo, hay una "supervisión mínima" sobre estas solicitudes debido a la confianza que tienen las personas, agregó.
Vector de ataque específico
En el vector de ataque que observaron los investigadores de Avanan, los atacantes acceden primero a Teams a través de una de las formas antes mencionadas, como un correo electrónico de phishing que falsifica a un usuario, o mediante un ataque lateral en la red.Luego, el actor de amenazas adjunta un archivo .exe a un chat, llamado "User Centric", que en realidad es un troyano. Para el usuario final, parece legítimo, porque parece provenir de un usuario de confianza.“Cuando alguien adjunta un archivo a un chat de Teams, particularmente con el nombre de archivo que suena inocuo de 'User Centric', muchos usuarios no lo pensarán dos veces y harán clic en él”, escribió Fuchs.
Si eso sucede, el ejecutable instalará archivos DLL que instalarán malware como un programa de Windows y crearán enlaces de acceso directo para autoadministrarse en la máquina de la víctima, dijo. El objetivo final del malware es tomar el control de la máquina y realizar otras actividades nefastas.
Historias relacionadas:
Microsoft : está integrando perfiles de LinkedIn al chat de Teams
Microsoft Teams : agrega nuevas integraciones a LinkedIn y OneDrive
Microsoft Teams : nuevas fucionalidad para las reuniones
Microsoft Teams : incorpóran soporte de cifrado de extremo a otro para llamadas uno a uno
Microsoft Teams Essentials : lanzó una versión exclusiva para pequeñas empresas
Microsoft Teams : anuncia actualización y puede ser favorable
Microsoft Teams : Actualización que ayudará a concentrarse durante las reuniones
Windows 11 : Dispone a compartir su pantalla en Microsoft Teams y otras videollamdas
[Fuente]: threatpost.com
Karastelev, D.( 17 de Febrero de 2022).Un tutorial de los pasos para cambiar un nombre de usuario. [Fotografía]. Modificado por Carlos Zambrado Recuperado de unsplash.com
