Los ciberdelincuentes abusan de Microsoft Teams para engañar a sus víctimas

Muchas empresas y organizaciones confían plenamente en los productos de Microsoft para su migración a la nube y para sus necesidades diarias, y los ciberdelincuentes lo saben. Los investigadores de Proofpoint han analizado más de 450 millones de sesiones maliciosas detectadas en la nube de Microsoft 365 a lo largo de la segunda mitad del 2022 y han descubierto que Teams es una de las aplicaciones más atacadas, con casi el 40% de las organizaciones objetivo que tuvo al menos un intento de inicio de sesión no autorizado.

Aunque todos los ataques empiezan por el compromiso de cuentas, se han observado varios métodos para conseguir que las víctimas hagan clic en enlaces maliciosos. En este sentido, cada canal de Microsoft Teams puede contener pestañas creadas por diferentes aplicaciones, por ejemplo, la pestaña “Archivos” asociada a SharePoint y OneDrive, y los usuarios pueden cambiar el nombre de estas pestañas, pero tienen restringido su cambio de posición de forma que se sitúen antes de las predeterminadas. Sin embargo, los investigadores han descubierto que mediante solicitudes no documentadas a la API de Teams, las pestañas pueden reordenarse y renombrarse de modo que la original pueda intercambiarse por una nueva personalizada.

La forma en la que los ciberdelincuentes aprovechan esto es mediante la aplicación “Sitio web”, que permite anclar una página web como una pestaña en la parte superior de un canal de Teams. Después, el atacante puede manipular el nombre de la pestaña, cambiándolo por el de una existente, y luego reposicionarlo. Esto aumenta las posibilidades de su uso fraudulento, dirigiendo a la víctima a un sitio malicioso, como una web de phishing de credenciales que se hace pasar por una página de inicio de sesión de Microsoft 365, o haciendo que se descargue automáticamente un archivo malicioso en el dispositivo del usuario.

Tácticas cada vez más avanzadas

Teams también puede sincronizarse con el calendario de un usuario para mostrar, crear y editar reuniones programadas. Por defecto, al crear una reunión online, se generan y envían varios enlaces dentro de la descripción que permiten a los usuarios unirse a la reunión o descargar Teams. Una vez que los ciberdelincuentes obtienen acceso a una cuenta de Teams, pueden manipular las invitaciones mediante solicitudes a la API, cambiando los enlaces predeterminados originales por otros maliciosos. Un ataque sofisticado puede llegar a cambiar automáticamente los enlaces predeterminados para que los usuarios, tanto fuera como dentro de una organización, sean remitidos a páginas de phishing o a sitios de alojamiento de malware.

Otro enfoque que los atacantes pueden utilizar, si tienen acceso al Teams de un usuario, es utilizar la API para cambiar los enlaces existentes en los mensajes enviados. Dado que la API de Teams permite editar de forma rápida y automática los enlaces incluidos en mensajes de chat privados o de grupo, un simple script podría cambiar innumerables URLs en cuestión de segundos. Posteriormente, un atacante sofisticado podría utilizar técnicas de ingeniería social y enviar nuevos mensajes, animando a los usuarios desprevenidos a hacer clic el enlace editado.

Para que las organizaciones puedan defenderse de estos ataques, se recomienda educar y concienciar a los usuarios sobre los riesgos existentes, identificar y aislar los inicios de sesión potencialmente peligrosos y, si es posible, limitar Microsoft Teams a un uso interno.