Herramientas de Windows, incluyendo Microsoft Teams, utilizadas para comprometer redes corporativas.
Los piratas informáticos están aprovechando herramientas legítimas de Windows para llevar a cabo ataques maliciosos.
Investigadores de ciberseguridad han alertado sobre un nuevo método empleado por hackers, que utiliza Microsoft Teams como plataforma inicial para acercarse a sus objetivos. Estos delincuentes emplean tácticas avanzadas de ingeniería social para obtener credenciales que les facilitan el acceso a herramientas de escritorio remoto, como Quick Assist. Con estas credenciales, logran acceder a los dispositivos de las víctimas y, posteriormente, introducen archivos .DLL dañados mediante OneDriveStandaloneUpdater.exe, una herramienta legítima de actualización de OneDrive.
Los archivos .DLL comprometidos les permiten instalar BackConnect, un tipo de herramienta de acceso remoto (RAT) que establece una conexión inversa desde el dispositivo afectado hacia un servidor controlado por los atacantes, eludiendo las restricciones de los firewalls. Este método otorga a los hackers acceso continuo, les permite ejecutar comandos y exfiltrar datos, todo mientras evaden las medidas de seguridad tradicionales.
Según el análisis de un grupo de especialistas, los ataques comenzaron en octubre de 2024, mayormente dirigidos a Norteamérica, donde se han registrado 21 incidentes: 17 en Estados Unidos, cinco en Canadá y el Reino Unido, y 18 en Europa. Sin embargo, no se especificó si estos ataques fueron efectivos ni los sectores más afectados.
Dado que muchas de las herramientas utilizadas son legítimas, como Teams y OneDrive, las soluciones antivirus convencionales pueden no ser suficientes para prevenir estas amenazas. Aún así, es fundamental que las empresas eduquen a sus empleados para identificar y reportar ataques de ingeniería social. Además, se recomienda implementar la autenticación multifactor (MFA) y limitar el acceso a herramientas de escritorio remoto.
Finalmente, las empresas deberían realizar auditorías en sus configuraciones de almacenamiento en la nube para evitar accesos no autorizados y supervisar el tráfico de la red en busca de conexiones sospechosas, especialmente aquellas dirigidas a servidores de comando y control conocidos como maliciosos.
