Recursos afectados
Cualquier empresario, autónomo o empleado que haga uso de Microsoft Teams en su entorno laboral.
Descripción
Se ha detectado un ciberataque de tipo phishing a numerosos trabajadores de una misma empresa. Los empleados recibieron a través del servicio corporativo de Microsoft Teams un mensaje fraudulento que invitaba a descargar un archivo .zip con códigos maliciosos, que en caso de ser descargados y ejecutados, podrían generar efectos considerablemente negativos. Microsoft, desarrollador de Teams, ha reportado indicios de una nueva modalidad de phishing basada en equipos que afectó a otras empresas en julio de este mismo año. Diversos elementos de este nuevo phishing coinciden con el modus operandi descrito por Microsoft.
Solución
En caso de recibir una comunicación de Teams como las que se describen en este aviso, es recomendable ignorarlo, eliminarlo e inmediatamente ponerlo en conocimiento del resto de empleados para evitar posibles nuevas víctimas.
Además, se recomiendan las siguientes medidas adicionales:
- Endurecer la política federativa de Teams. En lugar de emplear una política negativa que bloquee dominios, será más eficiente establecer una política positiva que bloquee, es decir, aceptar solo dominios confiables.
- Si en los logs (historiales de actividad) se detecta el intento de conexión a alguna dirección IP desconocida o sospechosa, se recomienda crear reglas para bloquear el acceso a estas, como medida preventiva.
- Reportar el tenant o inquilino malicioso a Microsoft, es decir, denunciar el usuario o cuenta desde la que proceden los mensajes.
- Denunciar a las autoridades pertinentes, tales como Policía Nacional o Unidad de Delitos Telemáticos de la Guardia Civil, y poner en conocimiento de INCIBE el caso.
Origen del phishing en Teams
Segun Microsoft, en julio de 2023, Storm-0324 comenzó a realizar phishing a través de Teams con enlaces maliciosos que conducían a un archivo malicioso alojado en SharePoint. Para esta actividad, lo más probable es que Storm-0324 dependa de una herramienta disponible públicamente llamada TeamsPhisher. TeamsPhisher es un programa en lenguaje Python que permite a los usuarios de inquilinos de Teams adjuntar archivos a mensajes enviados a inquilinos externos, de los que los atacantes pueden abusar para entregar archivos adjuntos de phishing. La plataforma Teams identifica estos ataques de phishing basados en Teams por parte de actores de amenazas como usuarios “EXTERNOS” si el acceso externo está habilitado en la organización.