Cuidado con hacer esto en Teams, o tu PC se infectará con ransomware

Los ataques de ransomware han alcanzado un nuevo nivel y ya aprovechan tácticas sofisticadas para conseguir acceder a tu ordenador. Si eres usuario de Microsoft Teams presta atención, puesto que un nuevo ataque podría poner en riesgo tus datos y los de otras personas conectadas a tu red.

Una investigación realizada por la firma de ciberseguridad Sophos reveló el modus operandi de múltiples ataques dirigidos a empresas. Según los investigadores, los atacantes explotan una función de Microsoft Teams para enviar miles de correos electrónicos a una bandeja. Simultáneamente, un hacker se disfrazará de una persona de soporte técnico y contactará a la víctima, prometiendo resolver el problema.

De acuerdo con los expertos en ciberseguridad, los hackers utilizan una configuración predeterminada que permite que dominios externos contacten a personas de una organización. Este patrón de ataque se divide en múltiples etapas y comienza con el bombardeo de correos electrónicos en períodos cortos a una víctima.

Según los ingenieros de Sophos, los hackers pueden enviar hasta 3.000 emails a un solo destinatario en un período de 45 minutos. Posteriormente, los atacantes utilizarán todo su encanto para convencerte de que instales Quick Assist, una herramienta de soporte técnico de Microsoft que permite tomar el control del PC a distancia. Si accedes, el hacker establecerá una sesión remota para desplegar el malware y comprometer el sistema.

En otro ataque, los hackers utilizaron un archivo JAR malicioso y scripts de Python para infiltrarse en el sistema. El archivo JAR ejecutó comandos PowerShell para descargar un ejecutable legítimo de ProtonVPN, que posteriormente fue cargado con una DLL maliciosa para otorgar acceso remoto. Los atacantes también usaron herramientas de Windows para recopilar información del sistema y desplegar malware secundario.

Cómo evitar los ataques de ransomware en Microsoft Teams

Los ataques por medio de Teams aprovechan una configuración predeterminada de la aplicación, por lo que el primer paso sería restringir el acceso externo. Las configuraciones que permiten llamadas y chats en Teams desde dominios externos deben deshabilitarse, a menos que sean estrictamente necesarias.

El bombardeo de correos electrónicos podría resolverse al implementar filtros de spam que detecten y bloqueen un intento de ataque por este medio. Otro paso fundamental es deshabilitar Quick Assist, la herramienta de soporte de Microsoft que permite que el hacker establezca el control a distancia.

Si bien los ataques no se atribuyen a un actor malicioso en específico, su despliegue utiliza patrones similares FIN7, un grupo de hackers rusos que ha efectuado fraudes financieros y delitos cibernéticos desde hace más de una década. Hace unos meses, expertos en ciberseguridad descubrieron que FIN7 alojaba generadores de IA maliciosos que infectaban equipos con supuestos deepfakes de famosas.