Un grupo de hackers vinculados al gobierno ruso ha llevado a cabo una serie de ciberataques contra al menos 40 entidades internacionales, utilizando como principal herramienta Microsoft Teams, el popular software de videollamadas de la compañía de Redmond.
La campaña de ataques, que comenzó a fines de mayo, ha afectado a gobiernos, ONGs, empresas de tecnología, o medios de comunicación, tanto de Europa como de los Estados Unidos.
La estrategia usada, basada en ataques de phishing, consistía en hacerse pasar por personal de soporte técnico de Microsoft Teams en los chats y, mediante engaños, robar las credenciales de acceso de los usuarios.
De nada sirve la tecnología si caemos en la ingeniería social
Para ello crearon dominios y cuentas falsas que les facilitaban hacerse pasar por el soporte técnico de Microsoft Teams. Luego, contactaban con los usuarios de Teams en los chats, intentando convencerles para ingresar un código en la aplicación Microsoft Authenticator de sus dispositivos móviles.
Si el usuario objetivo acepta la solicitud de chat e ingresa el código en la app, el ciberestafador obtiene un token para autenticarse como el propio usuario. A través de este engaño (no muy distinto a otras estafas vistas en WhatsApp, por ejemplo), los hackers buscaban obtener acceso a la cuenta de Microsoft 365 del usuario, de donde extraerá todo tipo de información confidencial.
El listado de subdominios maliciosos hecho público por Microsoft es el siguiente:
- msftprotection.onmicrosoft[.]com
- identityVerification.onmicrosoft[.]com
- accountsVerification.onmicrosoft[.]com
- azuresecuritycenter.onmicrosoft[.]com
- teamsprotection.onmicrosoft[.]com
El uso de autenticación multifactor (MFA) es una de las medidas de seguridad más efectivas utilizadas para proteger cuentas online. Sin embargo, este ataque deja claro que los cibercriminales pueden utilizar tácticas de ingeniería social para sortear esta clase de medidas y robar credenciales.
Microsoft recomienda a los usuarios de Teams que sean cautelosos al interactuar con mensajes y solicitudes de autenticación no solicitados y se mantengan informados sobre las últimas tácticas utilizadas por los ciberdelincuentes para evitar caer víctimas de estos ataques:
"Alentamos a los clientes a practicar buenos hábitos informáticos online, lo que incluye tener precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos".
Este no es el primer ataque llevado a cabo por Midnight Blizzard, ya que se les ha vinculado con numerosos ataques desde 2018. Por ahora, Microsoft afirma haber tomado medidas para mitigar el uso de estos dominios falsos por parte de los hackers y está llevando a cabo una investigación para evaluar el impacto del ataque.
Sin embargo, advierte que los hackers continúan encontrando nuevas formas de superar las barreras de seguridad de la empresa estadounidense.
Imagen | Basada en original de Pixabay
