Investigadores de seguridad de Avanan (una empresa de Check Point) han advertido sobre algunos atacantes están comprometiendo cuentas de Microsoft Teams para luego colarse en chats y difundir ejecutables maliciosos a quienes están participando en la conversación.
Lo que han descubierto es que un grupo de hackers empezaron a soltar archivos ejecutables maliciosos en conversaciones de la plataforma de comunicación Microsoft Teams. Los ataques comenzaron en enero, aunque no se han reportado hasta hoy.
El atacante inserta en un chat un archivo ejecutable llamado «User Centric» para engañar al usuario para que lo ejecute. El usuario puede confiar en este enlace porque le llega de un contacto conocido.
Ransomware: qué es, cómo infecta y cómo protegerse
Esto hace el troyano una vez ejecutado
Una vez ejecutado, el malware escribe datos en el registro del sistema, instala DLLs y establece su persistencia en la máquina Windows. Los hackers adjuntan archivos .exe a los chats de Teams para instalar un troyano en el ordenador del usuario final. El troyano se utiliza entonces para instalar malware.
Vector: Microsoft Teams
Tipo: Archivo troyano malicioso
Técnicas: Archivos .exe
Objetivo: Cualquier usuario final
«En este ataque a los equipos, los hackers adjuntan un documento troyano malicioso en una conversación. Cuando se hace clic en él, el archivo acaba tomando el control del ordenador del usuario«, concretan desde Avanan.
Cabe decir que por ahora no es fácil de atajar a estos atacantes puesto que el método utilizado para acceder a las cuentas de Teams «sigue sin estar claro, pero algunas posibilidades incluyen el robo de credenciales para el correo electrónico o Microsoft 365 a través de phishing» o que se haya podido comprometer alguna empresa u organización asociada a los usuarios.
Una vez instalado, este troyano puede recopilar información detallada sobre el sistema operativo y el hardware en el que se ejecuta, junto con el estado de seguridad de la máquina en función de la versión del sistema operativo y los parches instalados. Un problema grave que ven desde Avanan es que tras analizar datos de hospitales que usan Teams, han descubierto que «los médicos utilizan la plataforma para compartir información médica sin restricciones», y esto podría caer en manos equivocadas que podría llevar a ataques peores.
Además, Teams ofrece capacidades de acceso externo e invitado que permiten la colaboración con personas ajenas a la empresa. Avanan dice que estas invitaciones suelen ser atendidas con una mínima supervisión.
Además de contar con protección en los PC para que cuando descarguen archivos haya un sandbox que analice los archivos, anima a los usuarios a informar al departamento de TI cuando vean un archivo desconocido.
Fuente info
Autor: