Campaña activa de suplantación mediante Microsoft Teams para acceso remoto non autorizado

Campaña activa de suplantación mediante Microsoft Teams para acceso remoto non autorizado
Empresas
Administración Pública
Enxeñería Social
Microsoft
Suplantación de identidade
Nivel de alerta
Alto

Detectouse a nivel internacional unha campaña activa de ciberataques baseada en enxeñaría social multicanle, na que actores maliciosos empregan correo electrónico e Microsoft Teams para suplantar servizos de soporte técnico.

O obxectivo é inducir aos usuarios a conceder acceso remoto aos seus equipos mediante ferramentas lexítimas como Quick Assist, permitindo así a execución de código malicioso e o control do sistema.

Aínda que non existen evidencias públicas confirmadas de impacto específico en España, o risco é directamente aplicable ás administracións públicas, debido ao uso estendido destas ferramentas e ao vector humano implicado.

Cadea de ataque (simplificada)

  1. Saturación inicial (email bombing)
    Envío masivo de correos para xerar confusión ou sensación de incidencia.
  2. Contacto fraudulento por Microsoft Teams
    O atacante faise pasar por persoal de soporte IT.
  3. Engano ao usuario
    Solicítase executar unha ferramenta de asistencia remota (Quick Assist).
  4. Acceso remoto ao equipo
    O usuario concede control ao atacante.
  5. Execución de malware
    Uso de técnicas como DLL sideloading para cargar código malicioso.
  6. Persistencia e control
    Instalación de backdoors e comunicación encuberta (ex. DNS tunneling).

Mapeo MITRE ATT&CK (referencia técnica)

  • Initial Access
    • T1566 – Phishing
    • T1204 – User Execution
  • Execution
    • T1059 – Command and Scripting Interpreter
    • T1218 – Signed Binary Proxy Execution
  • Persistence
    • T1574 – Hijack Execution Flow (DLL Sideloading)
  • Defense Evasion
    • T1497 – Virtualization/Sandbox Evasion
  • Command and Control
    • T1071 – Application Layer Protocol
    • T1071.004 – DNS
  • Credential Access / Discovery
    • T1082 – System Information Discovery

       
Descrición de accións para evitar o risco ou solucionalo

Medidas recomendadas para AAPP
A nivel organizativo

  • Establecer protocolos claros de contacto do servizo de soporte IT
  • Sensibilizar ao persoal sobre suplantación a través de ferramentas corporativas
  • Verificar sempre solicitudes de acceso remoto por canles oficiais

A nivel técnico

  • Restringir ou monitorizar o uso de ferramentas de acceso remoto (Quick Assist, etc.)
  • Implementar control de aplicacións (whitelisting)
  • Supervisar tráfico DNS para detectar patróns anómalos
  • Bloquear execución de binarios non autorizados

A nivel de detección e resposta

  • Monitorizar eventos de acceso remoto non habitual
  • Revisar instalación de software sospeitoso
  • Activar capacidades EDR para detección de técnicas de evasión
  • Establecer procedementos de resposta ante compromisos de endpoint