Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Atacantes suplantan al soporte técnico en Microsoft Teams para desplegar el malware A0 Backdoor en empresas financieras y sanitarias

Atacantes suplantan al soporte técnico en Microsoft Teams para desplegar el malware A0 Backdoor en empresas financieras y sanitarias

Por Deja un comentario

Investigadores de Blue Voyant han descubierto que atacantes se hacen pasar por el departamento de informática a través de Microsoft Teams para conseguir acceso remoto a los equipos e instalar un malware llamado A0Backdoor

El ataque comienza enviando al correo electrónico del empleado mensajes de spam. Al rato, contactan con esa misma persona por Microsoft Teams haciéndose pasar por el soporte técnico de la empresa, ofreciendo ayuda para resolver el problema de los correos.

Una vez en contacto con el empleado, le piden que abra Quick Assist para tener acceso a su dispositivo por control remoto. Seguidamente, descargan el malware disfrazado de  componentes oficiales de Microsoft y de CrossDeviceService. Este camuflaje les permite omitir los análisis de seguridad.

Este malware recoge información del equipo como el usuario y datos del dispositivo. Para devolver la información utiliza una técnica de tunelización DNS. En lugar de conectarse directamente a un servidor específico, envía los mensajes dentro de consultas DNS normales dirigidas a servidores públicos, lo que dificulta la detección.

Entre las víctimas confirmadas hay una institución financiera en Canadá y una organización sanitaria. Los investigadores relacionan esta campaña con el grupo Storm-1811, anteriormente vinculado al ransomware BlackBasta. El uso de instaladores MSI, el payload A0Backdoor y la comunicación por DNS nunca se había visto antes por estos atacantes.

Recomendaciones

Ante esta campaña, se recomienda tomar las siguientes medidas:

  • Desconfiar de cualquier contacto no solicitado por Microsoft Teams que se identifique como soporte técnico interno, especialmente si coincide con una llegada repentina de spam al correo.
  • Restringir o deshabilitar Quick Assist en equipos corporativos si no es necesario.
  • Formar a los empleados para que reconozcan esta amenaza, conocida como vishing corporativo combinado con el inundado de mensajes de spam al correo electrónico.

Más información

Microsoft Teams phishing targets employees with A0Backdoor: https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-targets-employees-with-backdoors/

Acerca de Hispasec

Hispasec Ha escrito 7094 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.