Según informa Bleeping Computerlos actores de amenazas están intensificando sus esfuerzos contra Microsoft Teams para la distribución de malware mediante la plantación de documentos maliciosos en los hilos de chat, lo que en última instancia provoca que las víctimas ejecuten troyanos que secuestran sus sistemas corporativos.
Tradicionalmente, los piratas informáticos han centrado sus objetivos en las suites universales de documentos y uso compartido de Microsoft -Office y su Office 365 basado en la nube- con ataques contra aplicaciones individuales, como Word, Excel y otras.
Ahora, gracias a su tremendo aumento de adopción desde la COVID-19 (al igual que muchas otras aplicaciones SaaS), Microsoft Teams sigue siendo una superficie de ataque extremadamente frecuente. Como los empleados de muchas organizaciones siguen trabajando a distancia, la dependencia de Microsoft Teams para colaborar es mayor que nunca. Según los datos de mercado de Statista, el número de usuarios activos diarios de Teams casi se duplicó de 2020 a 2021, y los informes de Microsoft afirman ahora que habrá 270 millones de usuarios activos mensuales en enero de 2022.
Con el éxito de los ataques de spear-phishing y de compromiso del correo electrónico empresarial, amplificados por unos métodos de autenticación de seguridad mediocres, los actores de las amenazas obtienen acceso a cuentas corporativas de Microsoft 365 que, a su vez, les conceden acceso a aplicaciones, chats, archivos y directorios interorganizativos.
A partir de ahí, el envío de archivos cargados de troyanos a través de mensajes de chat de Teams requiere muy poco esfuerzo y, por tanto, da lugar a la ejecución por parte del usuario. Desgraciadamente, el desastre sobreviene entonces con el apoderamiento del sistema del usuario.
¿Por qué se producen estas infracciones?
Los vectores de ataque Spear-phishing y BEC no son nada nuevo (lo que no excusa las prácticas de seguridad indulgentes), y los usuarios suelen ser cautelosos con los datos recibidos por correo electrónico, gracias a las formaciones internas de concienciación sobre el phishing por correo electrónico. La mayoría, sin embargo, tiende a mostrar poca cautela o duda sobre los archivos recibidos a través de una plataforma de chat privada y corporativa; en particular con archivos adjuntos aparentemente inocentes denominados "centrados en el usuario". En ese momento, "el usuario es el eslabón más débil", como suele decirse, y por tanto proporciona al actor de la amenaza el punto de apoyo que necesita para administrar el control del sistema. Lamentablemente, las limitadas protecciones nativas de MS Teams exacerban este tipo de ataques.
¿Qué se puede hacer?
- La formación para la concienciación de los usuarios es siempre esencial cuando se afrontan asuntos relacionados con el phishing y el compromiso de cuentas empresariales.
- Obligar al uso de la autenticación multifactor también es vital para ayudar a prevenir el secuestro de cuentas.
- Desgraciadamente, es posible que por sí solas no basten para proteger a los usuarios contra ataques muy convincentes.
- Es cierto que el propio Microsoft Teams no es exactamente rico en funciones cuando se trata de examinar mensajes y archivos en busca de contenido malicioso.
- Por esta razón, es muy recomendable utilizar una plataforma de seguridad que unifique la protección contra malware, data loss prevention, análisis de comportamiento y control de la colaboración no sólo para Teams, sino también para todos los demás servicios de Microsoft 365, como Sharepoint y OneDrive, que normalmente pueden facilitar el compromiso de las cuentas en primer lugar.