Google acaba de emitir una advertencia sobre un nuevo grupo de ciberdelincuentes que utiliza invitaciones para chatear en Microsoft Teams combinadas con notificaciones falsas del departamento de soporte técnico (helpdesk) para robar información de inicio de sesión e instalar malware.
Según el Grupo de Inteligencia de Amenazas de Google (GTIG), el grupo de hackers llamado UNC6692 ha lanzado una campaña de ataque a gran escala con tácticas sofisticadas, dirigidas a empresas a través de la forma de "ataque preventivo" con correo basura.
Específicamente, los sujetos primero envían una gran cantidad de correos electrónicos basura a los empleados de la empresa, lo que hace que el buzón se sobrecargue. En un estado de confusión debido a la recepción continua de correos electrónicos inusuales, los usuarios son propensos a perder la vigilancia. Inmediatamente después, el atacante se hará pasar por empleado de TI, tomará la iniciativa de contactar a través de Microsoft Teams y solicitará apoyo para manejar el problema.
Creyendo que era un departamento interno, muchas personas siguieron las instrucciones. Se les pidió a los usuarios que hicieran clic en un enlace que se presentaba como una herramienta para ayudar a solucionar errores de correo electrónico. Sin embargo, este enlace resultó en un sitio web falso llamado "Mailbox Repair Utility", diseñado como una herramienta de revisión del sistema.
Después de que se le solicite información de inicio de sesión por correo electrónico, el sistema falso informará intencionalmente un error en las primeras entradas, solicitando la reimportación. Este truco hace que los usuarios crean que no han operado correctamente, mientras que en realidad la información de inicio de sesión ha sido recopilada.
Según la advertencia, todos estos datos se transfieren posteriormente al servidor controlado por hackers a través del servicio Amazon Web Services S3. Al mismo tiempo, los archivos maliciosos también se descargan silenciosamente en el dispositivo. Cuando la pantalla muestra el mensaje "terminado", el sistema ha sido realmente pirateado.
Después de tomar el acceso inicial, los hackers continúan instalando más herramientas para mantener el control a largo plazo. Este software les permite rastrear actividades, ejecutar comandos de forma remota e incluso tomar capturas de pantalla o robar datos importantes sin que los usuarios lo sepan.
Los expertos dicen que este es un tipo de ataque de "tecnología social", que aprovecha la psicología y los hábitos de las personas, en lugar de solo explotar las lagunas técnicas.
Anteriormente, Microsoft también registró campañas de estafa similares a través de la plataforma Teams, con el truco de hacerse pasar por un departamento de soporte técnico.
Los expertos en seguridad cibernética recomiendan que los usuarios estén especialmente atentos a las solicitudes de información de inicio de sesión, incluso si provienen de canales familiares en el trabajo.
