Investigadores de Blue Voyant han descubierto que atacantes se hacen pasar por el departamento de informática a través de Microsoft Teams para conseguir acceso remoto a los equipos e instalar un malware llamado A0Backdoor.
El ataque comienza enviando al correo electrónico del empleado mensajes de spam. Al rato, contactan con esa misma persona por Microsoft Teams haciéndose pasar por el soporte técnico de la empresa, ofreciendo ayuda para resolver el problema de los correos.
Una vez en contacto con el empleado, le piden que abra Quick Assist para tener acceso a su dispositivo por control remoto. Seguidamente, descargan el malware disfrazado de componentes oficiales de Microsoft y de CrossDeviceService. Este camuflaje les permite omitir los análisis de seguridad.
Este malware recoge información del equipo como el usuario y datos del dispositivo. Para devolver la información utiliza una técnica de tunelización DNS. En lugar de conectarse directamente a un servidor específico, envía los mensajes dentro de consultas DNS normales dirigidas a servidores públicos, lo que dificulta la detección.
Entre las víctimas confirmadas hay una institución financiera en Canadá y una organización sanitaria. Los investigadores relacionan esta campaña con el grupo Storm-1811, anteriormente vinculado al ransomware BlackBasta. El uso de instaladores MSI, el payload A0Backdoor y la comunicación por DNS nunca se había visto antes por estos atacantes.
Recomendaciones
Ante esta campaña, se recomienda tomar las siguientes medidas:
- Desconfiar de cualquier contacto no solicitado por Microsoft Teams que se identifique como soporte técnico interno, especialmente si coincide con una llegada repentina de spam al correo.
- Restringir o deshabilitar Quick Assist en equipos corporativos si no es necesario.
- Formar a los empleados para que reconozcan esta amenaza, conocida como vishing corporativo combinado con el inundado de mensajes de spam al correo electrónico.
Más información
Microsoft Teams phishing targets employees with A0Backdoor: https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/
