Ciberdelincuentes están usando Microsoft Teams para distribuir malware
Investigadores de seguridad advierten que algunos atacantes están comprometiendo las cuentas de Microsoft Team. El objetivo de los atacantes es infiltrarse en los chats y distribuir ejecutables maliciosos a los participantes en la conversación.
Más de 270 millones de usuarios confían en Microsoft Teams cada mes. Muchos de los usuarios confían implícitamente en la plataforma, a pesar de la ausencia de protecciones contra archivos maliciosos.
Método simple pero eficiente
Los encargados de revelar esta información fueron los investigadores de Avanan, una empresa de Check Point que brinda protección al correo electrónico en la nube y las plataformas de colaboración. Ellos descubrieron que los ciberdelincuentes comenzaron a colocar archivos ejecutables maliciosos en conversaciones en la plataforma de comunicación Microsoft Teams.
Según el informe presentado recientemente por la compañía, los ataques comenzaron en enero. Específicamente, el atacante inserta en un chat un archivo ejecutable llamado “User Centric” para engañar al usuario para que lo ejecute.
Una vez ejecutado, el malware escribe datos en el registro del sistema, instala archivos DLL y establece persistencia en la máquina con Windows.
“En este ataque de Teams, los ciberdelincuentes adjuntan un documento, troyano malicioso a un hilo de chat. Cuando se hace clic en él, el archivo eventualmente toma el control de la computadora del usuario”
– Avanan
El método utilizado para obtener acceso a las cuentas de Teams sigue sin estar claro. Sin embargo, algunas posibilidades incluyen el robo de credenciales de correo electrónico o Microsoft 365 a través de phishing o el compromiso de una organización asociada.
El análisis automático del malware distribuido de esta manera muestra que el troyano puede establecer la persistencia a través de las claves de ejecución del registro de Windows o creando una entrada en la carpeta de inicio.
El troyano también recopila información detallada sobre el sistema operativo y el hardware en el que se ejecuta. Además, recopila información sobre el estado de seguridad de la máquina según la versión del sistema operativo y los parches instalados.
Confianza excesiva
Aunque el ataque es bastante simple, también puede ser muy eficiente porque muchos usuarios confían en los archivos recibidos a través de Teams, dicen los investigadores de Avanan.
La empresa analizó datos de hospitales que usan Teams y descubrió que los médicos usan la plataforma para compartir información médica sin restricciones.
Si bien las personas suelen sospechar de la información recibida por correo electrónico, debido a la capacitación de concientización sobre el phishing por correo electrónico, no muestran precaución con los archivos recibidos por Teams.
Además, Teams proporciona capacidades de acceso externo y de invitados que permiten la colaboración con personas ajenas a la empresa. Avanan dice que estas invitaciones generalmente se cumplen con una supervisión mínima.
“Debido a la falta de familiaridad con la plataforma Teams, muchos simplemente confían y aprueban las solicitudes. Dentro de una organización, un usuario puede hacerse pasar fácilmente por otra persona, ya sea el director general, el director financiero o el servicio de asistencia técnica de informática”
– Avanan
Los investigadores dicen que el problema se ve agravado por “el hecho de que faltan las protecciones predeterminadas de Teams. Esto porque el escaneo de enlaces y archivos maliciosos es limitado” y “muchas soluciones de seguridad de correo electrónico no ofrecen una protección sólida para Teams”.
Para defenderte de tales ataques, Avanan recomienda las siguientes medidas:
- Implementar una protección que descargue todos los archivos en una zona de pruebas y los inspeccione en busca de contenido malicioso.
- Implementar un paquete de seguridad sólido y completo que asegure todas las líneas de comunicación comercial, incluidos Teams
- Animar a los usuarios finales a comunicarse con el departamento de informática cuando vean un archivo desconocido.