Una nueva campaña de phishing dirigida a Microsoft Teams ha sido descubierta, donde atacantes se hacen pasar por personal de soporte técnico para desplegar herramientas de acceso remoto y comprometer sistemas corporativos.

Microsoft Teams como un Objetivo en Crecimiento

Aunque el phishing por correo electrónico sigue siendo el punto de entrada más común para los ciberataques, los actores de amenaza recurren cada vez más a plataformas de colaboración en las que los empleados confían. Desde su lanzamiento en 2017, Microsoft Teams se ha convertido en una herramienta central para la comunicación empresarial, lo que la convierte en un vector atractivo para la ingeniería social.

De acuerdo con investigadores de seguridad de Permiso, los atacantes están creando cuentas falsas en Teams con nombres como “IT SUPPORT”, “Help Desk” o alias basados en departamentos. Algunos incluso utilizan emojis de verificación para parecer cuentas legítimas.

Dado que los empleados suelen asumir que los mensajes internos de Teams son auténticos, estas tácticas simples de suplantación han resultado sorprendentemente efectivas.

Metodología del Ataque

El objetivo de estas operaciones es obtener control total sobre el dispositivo de la víctima. Una vez que se establece el contacto, los falsos técnicos de soporte instan a los empleados a instalar software de acceso remoto como QuickAssist o AnyDesk.

Una vez instalados, los atacantes pueden tomar el control del sistema, robar credenciales, desplegar malware adicional y mantener persistencia para un acceso a largo plazo.

Versiones anteriores de este patrón de ataque, observadas a mediados de 2024, estuvieron relacionadas con el ransomware BlackBasta. Sin embargo, incidentes más recientes se han vinculado con familias de malware como DarkGate y el cargador Matanbuchus.

En un caso destacado, un script malicioso de PowerShell fue descargado desde un dominio fraudulento. Este script demostró capacidades de persistencia, robo de credenciales y comunicación cifrada con servidores controlados por atacantes.

Atribución: EncryptHub

Las campañas han sido vinculadas a un grupo con fines financieros conocido como EncryptHub (también rastreado como LARVA-208 o Water Gamayun).

Este actor tiene un historial de combinar ingeniería social con exploits de día cero y malware personalizado. Su actividad previa ha tenido como blanco a administradores de TI de habla inglesa, desarrolladores y profesionales del sector Web3.

Los investigadores de Permiso señalaron una debilidad operativa en estas campañas: la reutilización de constantes criptográficas estáticas en distintas muestras de malware. Este error permite a los defensores rastrear los repositorios y seguir la evolución de las herramientas del grupo.

Defensas y Recomendaciones

Al aprovechar Microsoft Teams, los atacantes están eludiendo los controles de seguridad tradicionales basados en correo electrónico e insertando su actividad maliciosa dentro de flujos de trabajo corporativos de confianza.

Se recomienda a los equipos de seguridad:

• Supervisar la actividad de Teams en busca de comunicaciones externas o sospechosas.
• Educar a los empleados para que verifiquen solicitudes inusuales de soporte técnico.
• Restringir o monitorear el uso de herramientas de acceso remoto en los entornos corporativos.

A medida que las plataformas de colaboración continúan creciendo, los atacantes seguirán explotándolas, lo que hace que la concientización en seguridad y la monitorización proactiva sean defensas esenciales.

Fuente: https://www.infosecurity-magazine.com/news/fake-support-attacks-hit-microsoft