Underc0de - La Casa de los Informáticos

Microsoft ha emitido una advertencia crítica sobre una nueva tendencia en el panorama de amenazas: los ciberdelincuentes están abusando de la colaboración externa en Microsoft Teams para infiltrarse en redes corporativas, utilizando herramientas legítimas para evadir la detección y facilitar el movimiento lateral.

Este tipo de ataques representa un cambio significativo en las tácticas de los actores maliciosos, quienes ahora priorizan el uso de software confiable y protocolos administrativos nativos para camuflar sus actividades dentro del tráfico normal de las organizaciones.

Ingeniería social en Teams: el punto de entrada inicial

El vector de ataque comienza con técnicas avanzadas de ingeniería social. Los atacantes se hacen pasar por personal de TI o soporte técnico y contactan a empleados a través de chats externos en Microsoft Teams, aprovechando la funcionalidad de colaboración entre inquilinos.

El objetivo es manipular psicológicamente a la víctima para que conceda acceso remoto a su equipo. En muchos casos, los ciberdelincuentes solicitan iniciar una sesión de asistencia utilizando herramientas legítimas como Quick Assist, una utilidad integrada en sistemas Windows que permite el control remoto entre usuarios.

Una vez que el acceso es concedido, el atacante obtiene control directo sobre el dispositivo del empleado, abriendo la puerta a una intrusión más profunda.

Uso de herramientas legítimas para evadir la detección

Uno de los aspectos más preocupantes de esta campaña es el uso de software legítimo para ejecutar acciones maliciosas. Microsoft ha identificado el uso de herramientas como Rclone, ampliamente utilizada para transferencias de archivos hacia servicios de almacenamiento en la nube.

El uso de estas herramientas dificulta la detección, ya que el tráfico generado se mezcla con operaciones legítimas dentro de la red corporativa. Además, los atacantes emplean protocolos administrativos nativos, lo que hace aún más complejo diferenciar entre actividad normal y maliciosa.

Cadena de ataque en nueve etapas: así operan los ciberdelincuentes

En un análisis detallado, Microsoft describe una cadena de ataque estructurada en nueve fases que permite a los actores de amenazas comprometer completamente una red empresarial:

1. Contacto inicial

El atacante se comunica con la víctima mediante un chat externo en Teams, haciéndose pasar por soporte técnico.

2. Ingeniería social

Convencen al usuario de que existe un problema con su cuenta o una actualización de seguridad pendiente.

3. Acceso remoto

Solicitan iniciar una sesión de soporte utilizando Quick Assist, obteniendo control del equipo.

4. Reconocimiento

Utilizan herramientas como Command Prompt y PowerShell para evaluar privilegios, pertenencia al dominio y alcance de red.

5. Ejecución de carga maliciosa

Despliegan un payload en ubicaciones accesibles como ProgramData y lo ejecutan mediante técnicas de carga lateral DLL usando aplicaciones confiables como Adobe Reader o Autodesk.

6. Comunicación con C2

Establecen comunicación con servidores de comando y control (C2) mediante HTTPS, camuflando el tráfico como legítimo.

7. Persistencia

Modifican el registro de Windows para mantener acceso persistente al sistema comprometido.

8. Movimiento lateral

Abusan de Windows Remote Management para desplazarse por la red y acceder a sistemas críticos como controladores de dominio.

9. Exfiltración de datos

Utilizan Rclone para transferir información sensible a servicios de almacenamiento en la nube, aplicando filtros para extraer únicamente datos valiosos y evitar levantar sospechas.

Un desafío creciente para la ciberseguridad empresarial

El uso intensivo de herramientas legítimas y protocolos administrativos convierte este tipo de ataques en una amenaza especialmente difícil de detectar. Según Microsoft, la actividad maliciosa posterior al acceso inicial se integra perfectamente con las operaciones normales de soporte técnico, lo que complica su identificación por parte de los equipos de seguridad.

Este enfoque, conocido como "living off the land" (LotL), permite a los atacantes operar sin necesidad de malware altamente detectable, reduciendo significativamente las probabilidades de ser descubiertos.

Recomendaciones clave para mitigar estos ataques

Ante este escenario, Microsoft recomienda adoptar un enfoque proactivo en ciberseguridad:

• Tratar todos los contactos externos en Teams como potencialmente no confiables
• Restringir o supervisar el uso de herramientas de acceso remoto
• Limitar el uso de WinRM a sistemas estrictamente controlados
• Capacitar a los empleados en detección de intentos de phishing
• Implementar autenticación multifactor robusta (preferiblemente sin SMS)
• Monitorizar actividades anómalas en endpoints y redes

Además, es fundamental prestar atención a las alertas de seguridad de Microsoft Teams, que indican claramente cuándo una comunicación proviene de un usuario externo.

En fin...

La advertencia de Microsoft refleja una evolución preocupante en las tácticas de los ciberdelincuentes, quienes ahora explotan herramientas legítimas y canales de comunicación empresarial para infiltrarse en organizaciones.

La combinación de ingeniería social, acceso remoto y uso de software confiable convierte estos ataques en una amenaza altamente efectiva y difícil de detectar. En este contexto, la concienciación del usuario y la implementación de controles de seguridad avanzados se convierten en elementos esenciales para proteger los activos digitales de las empresas.

La ciberseguridad ya no depende únicamente de tecnologías avanzadas, sino también de la capacidad de las organizaciones para adaptarse a un entorno donde la confianza puede ser fácilmente explotada.

Fuente: https://www.bleepingcomputer.com/