AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Ciberdelincuentes explotan llamadas de Microsoft Teams para distribuir EtherRAT e infiltrarse en redes corporativas**

### 1. Introducción

El vector de ataque a través de plataformas de colaboración empresarial continúa evolucionando. Recientemente, se ha detectado una campaña activa en la que actores maliciosos aprovechan las funcionalidades de llamadas de voz de Microsoft Teams para suplantar al personal de soporte IT y engañar a empleados de organizaciones, con el objetivo final de desplegar el malware EtherRAT y obtener acceso inicial a infraestructuras corporativas. Este incidente subraya la necesidad de reforzar la seguridad en entornos de trabajo híbrido y de revisar los controles de confianza en canales internos de comunicación.

### 2. Contexto del Incidente

A lo largo del primer semestre de 2024, diversas compañías han reportado incidentes en los que empleados recibieron llamadas de voz a través de Microsoft Teams, supuestamente provenientes de su departamento de IT. Durante la interacción, los atacantes instruían a las víctimas para descargar e instalar una supuesta actualización o herramienta de soporte remoto, que en realidad es el troyano EtherRAT (Remote Access Trojan).

Este patrón denota un cambio en la metodología de ingeniería social: la utilización de canales internos de comunicación, como Teams, que habitualmente se consideran de confianza, reduce la sospecha y aumenta la tasa de éxito de la infección. La campaña en cuestión afecta principalmente a empresas del sector financiero, tecnológico y servicios profesionales, aunque no se descarta su extensión a otros verticales.

### 3. Detalles Técnicos

#### CVEs y Vectores de Ataque

Aunque no se ha identificado una vulnerabilidad específica en Microsoft Teams (sin CVE asociado), el ataque explota la laxitud en la configuración de políticas de acceso y la falta de segmentación de usuarios externos o desconocidos. Los atacantes crean cuentas fraudulentas en Microsoft 365, configuradas para parecerse a personal interno (usando nombres, logos y fotos similares), y emplean técnicas de “vishing” (voice phishing) para establecer contacto directo con sus objetivos.

#### Tácticas, Técnicas y Procedimientos (TTP) – MITRE ATT&CK

– **T1566.002 (Phishing: Spearphishing via Service):** Uso de Teams para suplantar la identidad de IT.
– **T1078 (Valid Accounts):** Creación y uso de cuentas fraudulentas.
– **T1204 (User Execution):** Ingeniería social para convencer a la víctima de ejecutar un archivo.
– **T1105 (Ingress Tool Transfer):** Transferencia del ejecutable EtherRAT al endpoint.

#### Indicadores de Compromiso (IoC)

– Dominios y direcciones de correo sospechosos en Microsoft 365.
– Hashes de archivos vinculados a EtherRAT.
– Conexiones salientes a C2 (Command & Control) utilizados por EtherRAT.
– Instalación de binarios no firmados con nombres de herramientas legítimas de soporte.

#### Exploits y Herramientas

Aunque la entrega se realiza mediante ingeniería social, una vez que EtherRAT infecta el sistema, los atacantes pueden utilizar frameworks como Cobalt Strike o Metasploit para pivotar y escalar privilegios dentro de la red comprometida.

### 4. Impacto y Riesgos

La instalación de EtherRAT otorga al atacante control total sobre el equipo de la víctima, permitiendo:

– Exfiltración de credenciales y datos sensibles.
– Movimiento lateral para comprometer otros sistemas.
– Despliegue de ransomware u otro malware.
– Interrupción de operaciones críticas.

Según reportes recientes, el 17% de los incidentes de acceso inicial en entornos empresariales durante 2024 han involucrado técnicas similares de ingeniería social en plataformas de colaboración. El coste medio por brecha de seguridad que implica acceso inicial mediante RAT supera los 3,5 millones de euros, según datos de IBM.

### 5. Medidas de Mitigación y Recomendaciones

– **Restricción de Comunicaciones Externas:** Limitar la capacidad de recibir mensajes y llamadas de cuentas externas desconocidas en Teams.
– **Políticas de Autenticación Multifactor (MFA):** Para acceso y gestión de cuentas de Microsoft 365.
– **Concienciación y Formación:** Simulaciones periódicas de ataques de ingeniería social dirigidas a empleados.
– **Monitorización Proactiva:** Revisión de logs de Teams y endpoints para detectar comportamientos anómalos e IoCs relacionados con EtherRAT.
– **Implementación de EDR/XDR:** Soluciones avanzadas para detección y respuesta ante amenazas en tiempo real.
– **Actualización de Políticas de Seguridad:** Alineamiento con las directrices de la NIS2 y el Reglamento GDPR para la gestión de incidentes y protección de datos.

### 6. Opinión de Expertos

Analistas de amenazas de SANS Institute y Mandiant coinciden en que “los canales internos de colaboración están siendo explotados por la percepción de confianza que generan”. Expertos recomiendan adoptar un enfoque “Zero Trust” incluso en comunicaciones internas y realizar auditorías frecuentes de las identidades y permisos en plataformas colaborativas.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente sus políticas de acceso y segmentación en Microsoft Teams y herramientas similares. La confianza ciega en canales corporativos puede convertirse en un vector de riesgo crítico. Para los usuarios, es imprescindible verificar siempre la identidad de quien solicita la instalación de software y utilizar canales alternativos para confirmar solicitudes inusuales, conforme a las mejores prácticas de ciberhigiene.

### 8. Conclusiones

La explotación de Microsoft Teams para la distribución de EtherRAT marca una evolución en la ingeniería social corporativa. El uso de plataformas de confianza como vector de ataque requiere una revisión profunda de las políticas de seguridad y la implementación de controles adicionales. Solo una defensa en profundidad y una cultura de seguridad sólida permitirán mitigar estos riesgos en el nuevo paradigma de trabajo colaborativo digital.

(Fuente: www.bleepingcomputer.com)