- Ha habido un anuncio sobre los ataques cibernéticos en Microsoft Teams dirigidos a usuarios corporativos.
- Para acceder a la plataforma de Teams, un atacante requiere credenciales válidas de uno de los empleados de la entidad objetivo.
- Por lo tanto, los usuarios deben asegurarse de que sus credenciales de correo electrónico se mantengan seguras y protegidas.
En el pasado, los correos electrónicos maliciosos eran una forma común para que los piratas informáticos infectaran las redes corporativas con malware. Hoy en día, cada vez más empresas utilizan herramientas de colaboración como Microsoft Teams para la comunicación interna.
Además, estas herramientas son cada vez más utilizadas por las empresas para el trabajo remoto durante la pandemia de COVID-19.
Ahora, los atacantes han reconocido el potencial de esta herramienta (y otras) y la están utilizando para propagar malware. Debido a que los empleados rara vez esperan ser atacados a través de estos canales, tienden a ser menos cautelosos de lo habitual, lo que los convierte en blancos fáciles.
Esta publicación de blog describe cómo los atacantes explotan estas vulnerabilidades y qué pueden hacer los usuarios para protegerse a sí mismos y a sus organizaciones contra tales ataques.
como atacan
Microsoft Teams, una plataforma de colaboración incluida en el microsoft 365 familia de productos, permite a los usuarios realizar conferencias de audio y video, chatear en múltiples canales y compartir archivos.
Muchas empresas de todo el mundo han adoptado el uso de Microsoft Teams como herramienta central para la colaboración remota de sus empleados durante esta pandemia.
No se conocen vulnerabilidades en el chat del canal que puedan explotarse para inyectar malware en el sistema de un usuario. Sin embargo, existe un método que podría usarse con fines maliciosos.
Microsoft Teams permite compartir archivos siempre que el tamaño del archivo no supere los 100 MB. Un atacante puede cargar cualquier archivo en cualquier canal público en Microsoft Teams y cualquiera que tenga acceso al canal podrá descargarlo.
A partir de una la seguridad cibernética perspectiva, suena como una mina de oro: desde cualquier canal de Team, puede acceder a todas las conversaciones e información, incluida la información confidencial o la propiedad intelectual.
Dado que Teams le permite acceder a todas las conversaciones a través de diferentes canales que pueden contener información muy confidencial o propiedad intelectual. También puede contener archivos confidenciales compartidos entre sus usuarios.
Sin embargo, los ciberdelincuentes motivados financieramente también pueden beneficiarse de Teams, ya que podrían atrapar datos interesantes dentro de Teams, lo que podría permitirles cometer más fraudes, como obtener información de tarjetas de crédito por ejemplo.
Se dice que los atacantes comienzan con correos electrónicos de phishing dirigidos que contienen enlaces maliciosos. Si los miembros de las organizaciones que utilizan hacen clic en ellos.
Cuando un atacante intenta acceder al sistema de planificación de recursos empresariales de una empresa, lo único que necesita para acceder son las credenciales válidas de uno de los empleados. Una forma común de obtener dichas credenciales es ejecutar una campaña de phishing en los usuarios que se encuentran en la organización objetivo.
Una vez que un atacante ha obtenido acceso a la cuenta de correo electrónico de una víctima, puede iniciar sesión a través de Microsoft Teams y luego usar la función que permite a los usuarios importar documentos de otras fuentes.
Luego, el atacante puede cargar un documento HTML que contenga JavaScript malicioso y vincularlo a otro documento que se ejecutará cuando lo abran otros empleados que tengan acceso a él.
Los ataques también pueden llevarse a cabo contra los usuarios mediante la compra de credenciales válidas de un corredor de acceso inicial o mediante ingeniería social.
Usuarios infectados a través de Teams
El atacante puede acceder directamente a todos los canales de comunicación confidenciales entre empleados, clientes y socios. Además, los atacantes también pueden leer y manipular chats privados.
Los ataques se presentan en forma de correos electrónicos maliciosos que contienen una imagen de un documento de factura. Esta imagen contiene un hipervínculo creado con fines malintencionados que es invisible a simple vista pero está activo cuando se hace clic en él.
Equipos de Microsoft ha visto miles de ataques de vez en cuando. El atacante coloca archivos maliciosos ejecutables en diferentes conversaciones de Teams. Estos archivos son troyanos y pueden ser muy maliciosos para los sistemas informáticos.
Una vez que el archivo está instalado en su computadora, la computadora puede ser secuestrada para hacer cosas que no pretendía que hiciera.
No sabemos cuál es el objetivo final de los atacantes. Solo podemos sospechar que quieren obtener más información sobre su objetivo o acceso completo a las computadoras en la red objetivo.
Este conocimiento podría haberles dado la capacidad de realizar algún tipo de fraude financiero o ciberespionaje.
Sin detección de enlace
que hace Equipos de Microsoft vulnerables es que su infraestructura no está construida pensando en la seguridad. Como tal, no tiene un sistema de detección de enlaces maliciosos y solo tiene un motor común de detección de virus.
Debido a que los usuarios tienden a confiar en lo que hay en la plataforma que brindan sus empresas, pueden ser vulnerables a compartir malware e infectarse.
Un sorprendente nivel de confianza hace que los usuarios se sientan seguros al usar una nueva plataforma. Los usuarios pueden ser mucho más generosos con sus datos de lo que normalmente serían.
Los atacantes no solo pueden engañar a las personas colocando archivos infectados o enlaces en los canales de chat, sino que también pueden enviar mensajes privados a los usuarios y engañarlos con habilidades de ingeniería social.
A la mayoría de los usuarios no les importará guardar los archivos en sus discos duros y ejecutar antivirus o productos de detección de amenazas en ellos antes de abrir los archivos.
La cantidad de ciberataques diarios seguirá aumentando a medida que más organizaciones se involucren en este tipo de actividad.
Plan de protección
Para empezar, los usuarios deben tomar precauciones para proteger sus direcciones de correo electrónico, nombres de usuario y contraseñas.
Para ayudar a abordar la amenaza de la estructura del equipo, se sugiere que usted:
- Habilite la verificación en dos pasos en las cuentas de Microsoft que usa para Teams.
- Si los archivos se colocan en las carpetas de Teams, agregue más seguridad a esos archivos. Envíe sus hashes a VirusTotal para asegurarse de que no sean códigos maliciosos.
- Agregue seguridad adicional para los enlaces compartidos en Teams y asegúrese de usar servicios de verificación de enlaces acreditados.
- Asegúrese de que los empleados sean conscientes de los riesgos que implica el uso de plataformas de comunicación y uso compartido.
¿Su organización utiliza equipos de Microsoft? ¿Alguien ha sufrido ciberataques en la plataforma? Comparta sus puntos de vista en la sección de comentarios.