Security

Ataque de suplantación en Teams entre tenants

3 min de lectura

Resumen

Microsoft ha detallado una cadena de intrusión operada por humanos en la que los atacantes usan chats cross-tenant de Microsoft Teams para suplantar al personal de helpdesk y engañar a los usuarios para que concedan acceso remoto mediante herramientas como Quick Assist. La campaña es relevante porque combina colaboración legítima, soporte remoto y herramientas administrativas para facilitar movimiento lateral, persistencia y exfiltración de datos mientras aparenta ser actividad normal de TI.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha publicado nueva investigación sobre amenazas que describe cómo los atacantes están abusando de los chats externos de Microsoft Teams para suplantar al personal de TI o de helpdesk. Para los equipos de TI y seguridad, esto es un recordatorio importante de que el phishing moderno y la ingeniería social ya no comienzan solo con el correo electrónico: también pueden empezar dentro de herramientas de colaboración de confianza y escalar rápidamente hasta comprometer toda la empresa.

Qué hay de nuevo

El informe de Microsoft describe un playbook de intrusión operado por humanos completo que comienza con mensajes cross-tenant en Teams y termina con exfiltración de datos.

Cadena de ataque destacada por Microsoft

  • Contacto inicial a través de Teams: Los atacantes se hacen pasar por personal de soporte mediante comunicación externa en Teams.
  • Acceso inicial mediante asistencia remota: Se convence a las víctimas para iniciar Quick Assist u otras herramientas similares de soporte remoto y aprobar el acceso.
  • Reconocimiento y validación: Los atacantes comprueban rápidamente los privilegios del usuario, los detalles del sistema y el nivel de acceso.
  • Abuso de aplicaciones de confianza: Se inician aplicaciones firmadas por proveedores con módulos proporcionados por el atacante para ejecutar código malicioso.
  • Comando y control: Los atacantes establecen acceso persistente mientras se mezclan con la actividad administrativa normal.
  • Movimiento lateral: Se usan herramientas nativas como WinRM para pivotar hacia activos de alto valor, incluidos los controladores de dominio.
  • Herramientas posteriores: Puede desplegarse software comercial de administración remota como Level RMM.
  • Exfiltración de datos: Se utilizan utilidades como Rclone para preparar y mover datos sensibles a almacenamiento externo en la nube.

Por qué esto importa para los administradores

Esta campaña destaca porque depende en gran medida de herramientas legítimas de Microsoft y de terceros en lugar de malware evidente. Eso dificulta la detección y aumenta la probabilidad de que la actividad parezca soporte rutinario de TI, administración remota o acciones aprobadas por el usuario.

El mayor riesgo no es solo la mensajería externa en Teams en sí, sino el momento en que un usuario aprueba el control remoto. Una vez que eso ocurre, los atacantes pueden moverse rápidamente —a menudo en cuestión de minutos— para establecer un acceso más amplio, desplegar herramientas y apuntar a la infraestructura de identidad o de dominio.

Acciones recomendadas

Los administradores deben revisar los controles en colaboración, endpoint y seguridad de identidad:

  • Refuerza el acceso externo en Teams y revisa las políticas de comunicación cross-tenant.
  • Forma a los usuarios para que traten con sospecha los contactos no solicitados de helpdesk o seguridad en Teams, especialmente los mensajes de primer contacto.
  • Restringe o supervisa Quick Assist y otras herramientas de soporte remoto cuando sea posible.
  • Vigila cadenas de procesos sospechosas como QuickAssist.exe seguido de cmd.exe o PowerShell.
  • Supervisa la actividad de movimiento lateral que involucre WinRM y software inesperado de administración remota.
  • Revisa señales de exfiltración de datos asociadas a herramientas como Rclone o destinos inusuales de almacenamiento en la nube.
  • Usa Microsoft Defender XDR para correlacionar telemetría de identidad, endpoint y Teams para una detección más temprana.

Conclusión

La investigación de Microsoft muestra que las plataformas de colaboración ya forman parte del panorama activo de intrusiones. Los equipos de seguridad deben tratar la suplantación basada en Teams y la asistencia remota aprobada por el usuario como vías de alto riesgo, y actualizar en consecuencia la monitorización, la concienciación del usuario y los playbooks de respuesta.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Artículos relacionados

Security

Microsoft Defender predictive shielding frena ataques AD

Microsoft detalló cómo el predictive shielding de Defender puede contener el compromiso de dominios de Active Directory al restringir cuentas expuestas con altos privilegios antes de que los atacantes reutilicen credenciales robadas. Esta capacidad ayuda a los equipos de seguridad a reducir el movimiento lateral y cerrar la brecha de respuesta durante ataques de identidad que avanzan rápidamente.

Security

Intrusión macOS de Sapphire Sleet: claves

Microsoft Threat Intelligence detalló una campaña centrada en macOS de Sapphire Sleet que utiliza ingeniería social y falsas actualizaciones de software en lugar de explotar vulnerabilidades. La cadena de ataque se basa en la ejecución iniciada por el usuario de AppleScript y Terminal para eludir las protecciones nativas de macOS, lo que hace especialmente importantes las defensas en capas, la concienciación del usuario y la detección en endpoints.

Security

Estrategia de inventario criptográfico cuántico

Microsoft insta a las organizaciones a tratar el inventario criptográfico como el primer paso práctico hacia la preparación post-cuántica. La empresa describe un ciclo continuo de Cryptography Posture Management para ayudar a los equipos de seguridad a descubrir, evaluar, priorizar y corregir riesgos criptográficos en código, red, runtime y almacenamiento.

Security

Respuesta a incidentes de IA: cambios clave

Microsoft afirma que los principios tradicionales de respuesta a incidentes siguen aplicándose a los sistemas de IA, pero los equipos deben adaptarse al comportamiento no determinista, al daño más rápido a escala y a nuevas categorías de riesgo. La compañía destaca la necesidad de una mejor telemetría de IA, planes de respuesta multifuncionales y una remediación por fases para contener los problemas con rapidez mientras se desarrollan soluciones a largo plazo.

Security

SOC agéntico de Microsoft: visión para SecOps

Microsoft está delineando un modelo de "SOC agéntico" que combina la interrupción autónoma de amenazas con agentes de AI para acelerar las investigaciones y reducir la fatiga por alertas. El enfoque busca trasladar las operaciones de seguridad de una respuesta reactiva a incidentes hacia una defensa más rápida y adaptable, dando a los equipos SOC más tiempo para la reducción estratégica del riesgo y la gobernanza.

Security

Ataques de nómina de Storm-2755 en Canadá

Microsoft ha detallado una campaña de Storm-2755 con motivación financiera dirigida a empleados canadienses mediante ataques de desvío de nómina. El actor de amenazas utilizó SEO poisoning, malvertising y técnicas adversary-in-the-middle para robar sesiones, eludir MFA heredado y modificar datos de depósito directo, lo que hace que el MFA resistente al phishing y la supervisión de sesiones sean defensas críticas.