Ataques de Phishing para suplantación en Mircrosoft Teams
Fecha: 1 de mayo de 2020
Un ataque cibernético convincente que se hace pasar por notificaciones de Microsoft Teams con el fin de robar las credenciales de mas de 50.000 usuarios de Teams de Office 365 de empleados que pertenecen a diferentes grupos, está rondando últimamente, según los investigadores. En un ataque, los empleados reciben un correo electrónico que contiene un vínculo a un documento en un dominio utilizado por un proveedor de marketing establecido para hospedar material utilizado para las campañas. Si los destinatarios hacen clic en el vínculo, se les presentará un botón pidiéndoles que inicien sesión en Microsoft Teams, si se hace clic en ese botón lleva a una página malintencionada que suplanta la página de inicio de sesión de Microsoft Office para robar sus credenciales.
Los atacantes utilizan numerosas redirecciones de URL con el fin de ocultar la URL real utilizada que aloja los ataques. Los investigadores de la firma dijeron en un análisis publicado el viernes. Esta táctica se emplea en un intento de eludir la detección de enlaces maliciosos utilizados por los servicios de protección de correo electrónico. Por ejemplo, en uno de los ataques, el correo electrónico del remitente real se origina en un dominio registrado recientemente, "sharepointonline-irs[.] com," que los investigadores señalaron no está asociado ni a Microsoft ni al IRS, está oculto debido a las redirecciones. En el segundo ataque, el enlace de correo electrónico apunta a una página de YouTube, desde la cual los usuarios son redirigidos dos veces para finalmente aterrizar en otro sitio de phishing de inicio de sesión de Microsoft.
Dado que Microsoft Teams está vinculado a Office 365, el atacante puede tener acceso a otra información sensible disponible con las credenciales de Microsoft del usuario por medio del Single site on-sistema de inicio de sesión único.
Los investigadores indican que las campañas de Phishing son mas efectivas en el móvil, donde las imágenes toman la mayor parte de la pantalla y es difícil examinar las URL, pero incluso en los equipos de escritorio, los ataques son bien elaborados por lo tanto son convincentes.
Dada la situación actual donde el personal trabaja desde casa, las notificaciones de proveedores de alimentos, salud, bienes entre otros son constantes, el usuario podría caer en estos mensajes y no investigar.
Desafortunadamente, los actores maliciosos son muy buenos para explotar el caos y la confusión. La transición al trabajo remoto ha creado un entorno fértil para ataques a todas las formas de comunicación y colaboración para infiltrarse en los entornos de Office 365 y Teams. Es por esto que es fundamental que las empresas puedan monitorear y detectar amenazas tanto en el correo electrónico como en los entornos de los equipos.
Nota CSIRT-EPN: Para la EPN la herramienta TEAMS se ha constituido en una herramienta de trabajo indispensable, por lo que debemos permanecer alertas, con monitoreos constantes en los correos que ingresan que contienen enlaces, para evitar estos ataques.
Referencia:
https://threatpost.com/microsoft-teams-impersonation-attacks/155404/
CSIRT-EPN
