Los piratas informáticos comienzan a darse cuenta de que Microsoft Teams es una excelente manera de infiltrarse en los sistemas de una organización. Desde principios de año, los investigadores han visto que cada vez más piratas informáticos colocan malware en las conversaciones de Teams.
Jeremy Fuchs, analista de investigación de ciberseguridad en Avanan, una empresa de Check Point, le dijo a Help Net Security :
Hemos visto miles de ataques por mes en nuestra base de usuarios.
Ataques actuales
Este tipo particular de ataque involucra a los ciberdelincuentes que adjuntan archivos .exe a Teams Chats. El nombre del archivo actualmente es UserCentric.exe, pero este nombre se puede cambiar fácilmente a cualquier otro nombre.
Una vez descargado y ejecutado, el malware escribe datos en el registro de Windows, instala archivos DLL y crea enlaces de acceso directo que permiten que el programa se "autoadministre". De hecho, permite a los atacantes tomar el control de la computadora de la víctima.
Para poder usar este medio de ataque, los piratas informáticos deben tomar el control de una cuenta de Microsoft Teams. Dado que la mayoría de las ediciones profesionales de Microsoft 365 incluyen Teams, comprometer las credenciales de Microsoft 365, ya sea mediante suplantación de identidad o comprando credenciales comprometidas en la dark web, es extremadamente efectivo.
Además, como señala Fuchs, los atacantes pueden comprometer una organización asociada y escuchar chats internos, o comprometer una dirección de correo electrónico y usarla para acceder a Teams.
Microsoft Teams como el medio perfecto para distribuir malware
Aparentemente, el malware tiene capacidades de evasión de virtualización/sandbox . El análisis de enlaces y archivos maliciosos está limitado en Microsoft Teams, dice Fuchs, y muchas soluciones de seguridad de terceros no son tan buenas cuando se trata de la protección específica de Teams.
Además, aunque la mayoría de los empleados han aprendido a adivinar identidades en el correo electrónico, aún tienen una confianza inherente en las identidades de Teams. Fuchs, agrega:
Por ejemplo, un análisis de Avanan de hospitales que usan Teams encontró que los médicos comparten información médica del paciente prácticamente sin límites en la plataforma de Teams. El personal médico a menudo conoce las reglas de seguridad y el riesgo de compartir información por correo electrónico, pero las ignora cuando se trata de equipos. En su opinión, todo se puede enviar en Teams.
Además, casi todos los usuarios pueden invitar a personas de otros departamentos y, por lo general, hay una supervisión mínima cuando se envían o reciben invitaciones de otras empresas. Debido a la falta de familiaridad con la plataforma Teams, muchos simplemente confían y aprueban las solicitudes. Dentro de una organización, un usuario puede hacerse pasar fácilmente por otra persona, ya sea el director ejecutivo, el director financiero o la mesa de ayuda de TI.
Fuente: Help Net Security
¡Cuenta con International IT y Check Point para proteger a tu empresa de los ciberataques!
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
