Detectan ataques de soporte técnico falso en Microsoft Teams
Hallazgos recientes de algunas firmas de seguridad informática han puesto en evidencia una evolución preocupante en las técnicas de ingeniería social utilizada por hackers maliciosos. Igualmente, se ha identificado una serie de campañas de phishing que explotan la plataforma de colaboración, llamada Microsoft Teams, como vía para distribuir programas de acceso remoto y para introducir malware en los sistemas corporativos.
Aunque el correo electrónico sigue siendo la vía más utilizada para ejecutar ataques de phishing, los cibercriminales están diversificando sus métodos y enfocándose en entornos de trabajo digitales que gozan de alta confianza entre los trabajadores.
Esta plataforma, desde su lanzamiento en el año 2017, se ha convertido en una herramienta fundamental para la comunicación empresarial diaria. Esta presencia permanente en el flujo de trabajo la ha transformado en un objetivo atractivo para que los actores maliciosos ejecuten sus operaciones fraudulentas.
Los expertos han detectado que los cibercriminales crean cuentas falsas dentro de Teams, diseñadas para imitar a personal de soporte técnico. Estas cuentas, que suelen llevar nombres como “IT Support”, “Hellp Desk” también se presentan como representantes de departamentos internos. Para aumentar la ilusión de legitimidad, algunos perfiles incluyen iconos como marcas de verificación, simulando que han sido verificados oficialmente por el gigante tecnológico.
Este tipo de suplantación de identidad, aunque un poco básica en su ejecución, ha demostrado ser notablemente eficaz. La razón es tan sencilla como poderosa, debido a que muchos empleados dan por hecho que toda interacción dentro de plataformas corporativas como Teams es auténtica y segura. Esta confianza implícita es algo que los actores de amenazas explotan con bastante precisión.
La suplantación de identidad puede ser catastrófica tanto para usuarios comunes como para las empresas. Por ello, TIC Defense tiene a tu disposición un conjunto de soluciones y servicios de alta tecnología, destinados a prevenir y dar respuesta rápida a todo tipo de intrusiones, así como a proteger tus datos de actores que suplantan identidad.
El objetivo final de estos ciberataques es obtener el control total del dispositivo de sus víctimas. El modo de operar comienza con un contacto aparentemente rutinario desde la cuenta falsa, seguido por una solicitud para instalar herramientas de acceso remoto, siendo QuickAssist o AnyDesk las más empleadas.
Una vez que el software es instalado, los hackers maliciosos adquieren control completo del sistema comprometido. Esto les permite ejecutar diversas acciones maliciosas, desde el robo de credenciales hasta la instalación de puertas traseras que aseguren el acceso persistente al entorno afectado.
Si bien las versiones anteriores de esta técnica han sido observadas en mayo de 2024 y vinculadas con operaciones del famoso ransomware BlackBasta, las variantes más recientes muestran conexiones con otras amenazas, entre ellas el troyano de acceso remoto llamado DarkGate y el loader llamado Matanbuchus.
En un caso que ha sido documentado, un script de PowerShell descargado desde un dominio malicioso ha demostrado tener capacidades de persistencia avanzada, exfiltración de credenciales y comunicación cifrada con servidores controlados por los ciberdelincuentes.
Detrás de estas campañas maliciosas se encuentra un grupo conocido como EncryptHub, también identificado bajo los alias LARVA-208 o Water Gamayun. Esta organización, que siempre actúa bajo motivaciones económicas, es reconocida por combinar ingeniería social sofisticada con exploits de día cero y herramientas de malware desarrolladas a medida.
Sus objetivos comunes incluyen profesionales del ámbito tecnológico, como personal de soporte, desarrollades y especialistas en Web3, sobre todo, aquellos que son de habla inglesa.
