Los hackers siempre encuentran formas creativas de atacar, y ahora están apuntando a algo que usamos todos los días en el trabajo: Microsoft Teams. Esa herramienta que muchos consideramos segura para chatear con el equipo o gestionar reuniones se ha convertido en el nuevo blanco de los ciberdelincuentes. ¿Cómo lo están logrando? Mezclando dos tácticas muy peligrosas: envían miles de correos de phishing para obtener acceso inicial, y luego se hacen pasar por soporte técnico en llamadas a través de Microsoft Teams. El objetivo final: engañar a los empleados para que instalen malware que abre las puertas de la red empresarial.
Esta técnica no es solo ingeniosa, sino también alarmantemente efectiva. Desde finales del año pasado, ha sido utilizada en ataques relacionados con el ransomware Black Basta, pero recientes investigaciones revelan que otros grupos de amenazas, posiblemente vinculados con FIN7, también han adoptado este método.
Para llegar a los trabajadores de una empresa, los hackers se aprovechan de una configuración predeterminada en Microsoft Teams que por defecto, permite recibir llamadas y mensajes de chat de personas fuera de la organización.
Una de las campañas analizadas arroja luz sobre cómo los hackers logran explotar herramientas legítimas como Teams para infiltrarse en las empresas. En este caso, se identificó a un grupo, denominado internamente como STAC5143, que utilizó una combinación de tácticas para lograr su objetivo.
Primero, los atacantes bombardearon a la organización con miles de correos electrónicos: se enviaron aproximadamente 3,000 mensajes en solo 45 minutos. Mientras tanto, un trabajador específico recibió una llamada a través de Microsoft Teams desde una cuenta externa con un nombre que parecía oficial: "Administrador del servicio de asistencia".
Durante la llamada, el atacante se hizo pasar por soporte técnico y logró convencer a la víctima de que configurara una sesión de control remoto de pantalla a través de Teams. Este fue el primer paso para tomar control del sistema.
Una vez que el atacante obtuvo acceso remoto, cargó un archivo malicioso: un archivo Java (JAR) llamado MailQueue-Handler.jar junto con scripts de Python que incluían una puerta trasera conocida como RPivot. Ambos estaban alojados en un enlace externo de SharePoint, una plataforma legítima que ayudó a que parecieran confiables.
El archivo JAR ejecutó comandos de PowerShell, descargando un ejecutable legítimo de ProtonVPN para realizar un ataque de "carga lateral". Esto significa que cargaron una DLL maliciosa (nethost.dll) que, una vez ejecutada, estableció un canal de comunicación cifrado con servidores externos. Este canal permitió a los hackers controlar de forma remota el sistema comprometido sin que el usuario se diera cuenta.
El atacante no se detuvo ahí. Utilizó herramientas del sistema como WMIC y whoami.exe para recopilar información sobre el equipo, como los permisos del usuario y detalles del sistema operativo.
A continuación, desplegaron malware adicional de segunda etapa, incluido un programa Java que ejecutaba RPivot, una herramienta diseñada para pruebas de penetración. RPivot permitió al atacante establecer un túnel de proxy SOCKS4, lo que les dio la capacidad de enviar comandos directamente al sistema comprometido y moverse lateralmente dentro de la red.
Código RPivot ofuscado (Fuente: Sophos)
Podría interesarte leer: ¿Por qué el movimiento lateral es clave en los ataques de ransomware?
Las tácticas y herramientas utilizadas en estos ataques tienen algunos paralelismos con FIN7, uno de los grupos de ciberdelincuentes más conocidos en el ámbito del ransomware. Por ejemplo, el uso de RPivot y las técnicas de ofuscación ya se habían visto anteriormente en campañas relacionadas con este grupo. Sin embargo, hay una trampa: tanto RPivot como los métodos de ofuscación están disponibles públicamente, lo que significa que cualquiera podría haberlos utilizado, no necesariamente FIN7.
De hecho, Sophos explica que, aunque hay indicios de conexión, no pueden atribuir con total confianza los ataques de STAC5143 a FIN7. Esto tiene sentido, ya que FIN7 ha vendido en el pasado sus herramientas a otros grupos criminales. Según los investigadores, hay una probabilidad media de que el malware Python utilizado en este ataque esté vinculado a los actores detrás de FIN7, también conocidos como Sangria Tempest.
El ataque, que se detuvo antes de llegar a su etapa final, tenía como objetivo inicial robar datos de la víctima y, posteriormente, implementar ransomware.
En una segunda campaña, rastreada como STAC5777, los atacantes también comenzaron con un bombardeo de correos electrónicos seguido por mensajes enviados a través de Microsoft Teams. Al igual que en el caso anterior, se hicieron pasar por el departamento de soporte de TI, pero esta vez optaron por una estrategia ligeramente diferente: convencer a la víctima de que instalara Microsoft Quick Assist, una herramienta legítima de asistencia remota.
Al obtener acceso remoto, los atacantes utilizaron el teclado de la víctima para descargar malware alojado en Azure Blob Storage. Este malware, un archivo llamado winhttp.dll, fue cargado de manera furtiva dentro de un proceso legítimo de Microsoft: OneDriveStandaloneUpdater.exe. Para asegurarse de que el malware se ejecutara continuamente, un comando de PowerShell creó un servicio que lo reiniciaba cada vez que el sistema se encendía.
Una vez activo, este malware estaba diseñado para:
Además, los atacantes buscaron específicamente archivos que pudieran contener credenciales. Por ejemplo, revisaron documentos de Word y Bloc de notas que incluían la palabra "contraseña" en el nombre del archivo. También accedieron a dos archivos del Protocolo de Escritorio Remoto, probablemente para encontrar más credenciales o accesos.
Podrá interesarte leer: SauronEye: Herramienta Esencial para Equipos Rojos y Pentesters
Con tácticas cada vez más comunes y sofisticadas, como el uso de Microsoft Teams y herramientas legítimas como Quick Assist, las empresas deben tomar medidas preventivas para minimizar el riesgo de estos ataques. Algunas recomendaciones clave incluyen:
A medida que estas tácticas evolucionan y se vuelven más comunes, las organizaciones no pueden permitirse bajar la guardia. La confianza en herramientas legítimas es exactamente lo que los ciberdelincuentes están explotando, y prevenir estos ataques requiere una combinación de tecnología, educación y sentido común.