Falsos técnicos de soporte contactan a empleados por Microsoft Teams para instalar un troyano de control remoto
Atacantes se hacen pasar por personal de soporte técnico y contactan a empleados por videollamada de Microsoft Teams, después de un correo inicial disfrazado de encuesta interna. Convencen a la víctima de ceder el control de su equipo e instalar un programa de administración remota, y desde ahí instalan un programa malicioso que ejecuta comandos y roba información. Toda organización que use Microsoft Teams debe verificar que su personal sepa que soporte técnico nunca pide ceder control remoto en una llamada no solicitada.
Qué ocurrió
Investigadores de Unit 42 (Palo Alto Networks) documentaron una campaña activa en la que atacantes se hacen pasar por personal de soporte técnico interno. El engaño empieza con un correo disfrazado de encuesta para empleados; después, la víctima recibe una videollamada de Microsoft Teams de alguien identificado como administrador del sistema externo y desconocido. Quien contesta es convencido de ceder el control de su equipo e instalar un programa legítimo de administración remota. A partir de ahí, el atacante instala un paquete que contiene un programa malicioso llamado EtherRAT, capaz de ejecutar comandos, robar archivos y mantenerse oculto en el equipo incluso después de que termina la llamada.
Quién está expuesto
Para personas
Cualquier persona que use Microsoft Teams en su trabajo y reciba una llamada no solicitada de alguien identificado como soporte técnico externo.
Para organizaciones
Toda organización que use Microsoft Teams como canal de comunicación interna; el reporte no señala una industria específica como blanco.
A considerar
Durante la sesión de control remoto, Teams genera archivos con el patrón de nombre “CtrlVirtualCursorWin_*” en el equipo: un rastro que los equipos de TI pueden buscar para confirmar si un equipo estuvo expuesto a este tipo de sesión.
Impacto potencial
Un atacante con este nivel de acceso puede robar información del equipo, moverse hacia otros sistemas de la red, y mantener el control incluso después de que la víctima cuelga la llamada, sin que la persona note nada anormal en el momento.
Leer fuente original →