Proofpoint ha detectado varias formas en las que los ciberdelincuentes están abusando de la herramienta Microsoft Teams para engañar a sus víctimas. Puesto que muchas empresas y organizaciones confían plenamente en los productos de Microsoft para su migración a la nube y para sus necesidades diarias, esta nueva amenaza tiene una importancia considerable.
Los investigadores de Proofpoint han analizado recientemente más de 450 millones de sesiones maliciosas detectadas en la nube de Microsoft 365 a lo largo de la segunda mitad del 2022. Según sus hallazgos, Teams es una de las aplicaciones más atacadas, casi el 40% de las organizaciones objetivo tuvo al menos un intento de inicio de sesión no autorizado. Sin embargo, aunque todos los ataques empiezan por el compromiso de cuentas, se han observado varios métodos para conseguir que las víctimas hagan clic en enlaces maliciosos.
Manipulación de las pestañas por defecto de Teams
Cada canal de Microsoft Teams puede contener pestañas creadas por diferentes aplicaciones, por ejemplo, la pestaña “Archivos” asociada a SharePoint y OneDrive. Los usuarios pueden cambiar el nombre de estas pestañas, siempre que no se solape con una ya existente, pero tienen restringido su cambio de posición de forma que se sitúen antes de las predeterminadas (por ejemplo, “Archivos”). Sin embargo, los investigadores de Proofpoint han descubierto que mediante solicitudes no documentadas a la API de Teams, las pestañas pueden reordenarse y renombrarse de modo que la original pueda intercambiarse por una nueva personalizada.
La forma en la que los ciberdelincuentes aprovechan esto es mediante la aplicación “Sitio web”, que permite anclar una página web como una pestaña en la parte superior de un canal de Teams. Después, el atacante puede manipular el nombre de la pestaña, cambiándolo por el de una existente, y luego reposicionarlo. Esto permite empujar la pestaña original fuera de la vista y, por lo tanto, aumenta las posibilidades de su uso fraudulento, dirigiendo a la víctima a un sitio malicioso, como una web de phishing de credenciales que se hace pasar por una página de inicio de sesión de Microsoft 365, o haciendo que se descargue automáticamente un archivo malicioso en el dispositivo del usuario.
Sustitución de links en las invitaciones a reuniones
La plataforma también puede sincronizarse con el calendario de un usuario para mostrar, crear y editar reuniones programadas. Por defecto, al crear una reunión online, se generan y envían varios enlaces dentro de la descripción que permiten a los usuarios unirse a la reunión o descargar Teams. Una vez que los ciberdelincuentes obtienen acceso a una cuenta de Teams, pueden manipular las invitaciones mediante solicitudes a la API, cambiando los enlaces predeterminados originales por otros maliciosos. Un ataque sofisticado puede llegar a cambiar automáticamente los enlaces predeterminados para que los usuarios, tanto fuera como dentro de una organización, sean remitidos a páginas de phishing o a sitios de alojamiento de malware, provocando así su descarga instantánea.
Edición de hipervínculos en los chats
Otro enfoque diferente que los atacantes pueden utilizar, si tienen acceso al Teams de un usuario, es utilizar la API para cambiar los enlaces existentes en los mensajes enviados. Esto podría hacerse editando los links de manera que el hipervínculo que aparece no cambia, aunque la URL detrás de él se modifique. Dado que la API de Teams permite editar de forma rápida y automática los enlaces incluidos en mensajes de chat privados o de grupo, un simple script podría cambiar innumerables URLs en cuestión de segundos. Posteriormente, un atacante sofisticado podría utilizar técnicas de ingeniería social y enviar nuevos mensajes, animando a los usuarios desprevenidos a hacer clic (o “volver a visitar”) el enlace editado.
Para que las organizaciones puedan defenderse de estos ataques, se recomienda educar y concienciar a los usuarios sobre los riesgos existentes, identificar y aislar los inicios de sesión potencialmente peligrosos y, si es posible, limitar Microsoft Teams a un uso interno.
“Nuestro análisis sobre ataques recientes y tendencias actuales en el dinámico panorama de amenazas cloud indica que los ciberdelincuentes desarrollan tácticas cada vez más avanzadas”, explican los investigadores de Proofpoint. “La adopción de nuevas técnicas y herramientas, combinada con los fallos de seguridad, incluyendo las funcionalidades peligrosas en aplicaciones de terceros como Teams, expone a las organizaciones a una serie de importantes riesgos”.
Más información
- Cuidado con Squarespace y Dropbox: así es cómo los ciberataques BEC 3.0 burlan la detección de los antivirus
- Los ciberdelincuentes utilizan aplicaciones comunes de Microsoft y Adobe para atraer a las víctimas
- Análisis de las estafas por correo electrónico más costosas para las empresas
- 8 métodos efectivos para educar a los consumidores sobre ciberseguridad
