Microsoft Teams-Based Phishing

Microsoft Teams es una de las plataformas más utilizadas por las empresas para la comunicación y colaboración, y también es uno de los programas de la suite de Microsoft 365 más afectados por ataques de Phishing.
Según una nota elaborada por proofpoint, “... se analizaron más de 450 millones de sesiones maliciosas, detectadas durante la segunda mitad de 2022 y dirigidas a los usuarios de la nube de Microsoft 365. Según nuestros hallazgos, Microsoft Teams es una de las diez aplicaciones de inicio de sesión más específicas, con casi el 40 % de las organizaciones objetivo que tienen al menos un intento de inicio de sesión no autorizado para obtener acceso.”

Pero, ¿cómo es que un usuario puede verse afectado? ¿Cómo los atacantes pueden engañar al empleado para ceder sus accesos?
Existen nuevas técnicas para comprometer la plataforma Teams, entre ellas:
·      Usando las pestañas de navegación para Phishing.
·      Usando las pestañas de navegación para la descarga de software malintencionado.
·      URL’s maliciosos que aparentan ser invitaciones de reuniones legitímas.
·      Mensajes existentes reemplazados por URL’s maliciosos.
Estas técnicas están basadas bajo el concepto de Phishing y otras prácticas que usan los atacantes para el robo de credenciales.



¿Phishing en mis Archivos?
Dentro de los chats o canales existen pestañas a las cuales accedes a algunas aplicaciones integradas, como lo son los “Archivos” compartidos, y están asociados con SharePoint y OneDrive. Estas pestañas pueden ser manipuladas y ser un vector de ataque que pueda comprometer la cuenta del usuario.
Por lo general, los usuarios pueden personalizar el nombre de las pestañas, siempre y cuando el nuevo nombre no se repita con uno existente, además, no es posible reposicionar las pestañas. Sin embargo, existen una manera en la cual se puede cambiar los nombres y cambiar las pestañas de lugar y es usando API’s no documentadas.



Una manera en que los atacantes puede cambiar estas funciones predeterminadas es utilizando la aplicación “Website” integrada en Teams. La aplicación puede ser anclada como una pestaña y puede ser renombrada como una pestaña ya existente y reposicionarse. Esto permite ocultar la pestaña nativa y que los usuarios accedan a la pestaña añadida.



La nueva pestaña puede ser utilizada para apuntar a un sitio malicioso, como un portal falso de inicio de sesión de Microsoft 365 donde el usuario ingrese sus credenciales y puedan ser robadas.



¿Yo descargué eso?
Las pestañas no solo pueden ser reemplazadas por aplicaciones que apuntan a sitios falsos. La URL de la aplicación ”Website” puede ser reemplazada por un enlace de descarga que inicia de manera automática, con esto los atacantes pueden descargar malware o herramientas que comprometan al sistema.

Reunión maliciosa
Microsoft Teams se sincroniza con el calendario del usuario, se puede mostrar, crear y editar reuniones.
De manera predeterminada, al momento de crear una nueva reunión, se genera un enlace para integrarse a la reunión.
Con acceso a una cuenta de Teams de un usuario, se puede manipular las invitaciones a reuniones mediante la API de Teams, intercambiando enlaces predeterminados con enlaces maliciosos.
Un atacante puede modificar automáticamente los enlaces predeterminados dentro de una invitación de reunión para que los usuarios, tanto fuera como dentro de la organización, sean remitidos a páginas de phishing o a sitios que alojan malware, causando así ataques instantáneos.



Hipervínculos armados
Un atacante puede modificar links en mensajes enviados. Esto puede ser logrado con reemplazar los hipervínculos benignos por enlaces que apuntan a sitios o recursos maliciosos.
Dado que la API de Teams permite la enumeración y edición rápida y automática de enlaces incluidos en chats privados o grupales, un simple script ejecutado por atacantes podría convertir innumerables URL en cuestión de segundos. Posteriormente, un atacante podría utilizar técnicas de ingeniería social y enviar nuevos mensajes, alentando a los usuarios desprevenidos a hacer clic (o "volver a visitar") el enlace editado.

Impacto
Hay que destacar que para que estas técnicas puedes ser empleadas, el atacante debe de contar con el acceso previo a la plataforma. Una investigación reveló que aproximadamente el 60% de los Tenant de Microsoft 365 han sufrido una intrusión exitosa en 2022. Esto provee al atacante grandes posibilidades para moverse lateralmente después de comprometer la cuenta.

Recomendaciones
Se enlistarán recomendaciones que ayudarán a proteger a la organización de las técnicas de Phishing:
·      Concientización. Educa a los usuarios para que sea consciente de los riesgos que puedan existir en Microsoft Teams.
·      Cloud Security. Identifique a los atacantes que acceden a Teams dentro de su entorno de nube. Esto requiere una detección precisa y oportuna del compromiso inicial de la cuenta y la visibilidad de la aplicación de inicio de sesión afectada.
·      Web Security. Aísla las sesiones potencialmente maliciosas iniciadas por enlaces incrustados.
·      Revisión. Supervise el uso de Microsoft Teams, si se enfrenta a intentos de segmentación constante, considérese limitar el uso de la plataforma desde la nube.
·      Restringir el acceso. Asegure que el servicio de Teams solo debe ser interno de ser posible y que la comunicación no este expuesta con otras organizaciones.

Fuente Proofpoint: https://www.proofpoint.com/us/blog/threat-insight/dangerousfunctionalities-in-microsoft-teams-enable-phishin

 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios