- Microsoft Teams advierte a los usuarios sobre estafadores que abusan de la función de chat entre inquilinos
- Los atacantes se hacen pasar por personal de TI y engañan a las víctimas para que otorguen acceso remoto a través de Quick Assist
- Una vez dentro, utilizan herramientas confiables para moverse lateralmente, instalar Rclone y extraer datos confidenciales de la empresa.
El equipo de Microsoft advirtió a los usuarios sobre estafadores que utilizan la plataforma para acceder a sus redes corporativas, implementar códigos maliciosos y robar datos confidenciales.
En un nuevo aviso de seguridad en profundidad publicado el fin de semana pasado, Microsoft dijo que ha visto estafadores que utilizan la función de inquilinos cruzados para iniciar chats a pesar de que no son parte de la organización víctima.
Se hacen pasar por personal de TI o de soporte técnico e intentan convencer a sus víctimas para que les den acceso remoto a sus computadoras utilizando herramientas legítimas como QuickHelp.
El artículo continúa a continuación.
No disparar la alarma
Quick Assist es una aplicación integrada de administración de escritorio remoto de Windows que permite a los usuarios proporcionar o recibir asistencia técnica remota.
Una vez que obtienen acceso, los estafadores ejecutarán programas legítimos y confiables, pero los modificarán para ejecutar código malicioso. Desde allí, se mueven a través de la red de la empresa utilizando herramientas integradas como la administración remota de Windows para llegar a sistemas críticos como controladores de dominio.
“Desde esta entrada inicial, los atacantes pueden utilizar herramientas confiables y protocolos administrativos nativos para moverse lateralmente a través de la empresa y preparar datos confidenciales para su filtración, a menudo entremezclados con actividades rutinarias de soporte de TI durante todo el ciclo de vida de la intrusión”, dijo la compañía.
Microsoft también dijo que vio a atacantes instalando herramientas y programas comunes de administración remota como Rclone para recopilar y cargar datos de la empresa al almacenamiento en la nube.
Esta estrategia aparentemente funciona bien porque se basa en equipos reales y procesos de TI comunes. Las víctimas no ven ninguna señal de alerta y los equipos de TI y de asistencia técnica no reciben alertas sobre ninguna actividad inusual o sospechosa. En lugar de correos electrónicos de phishing, los atacantes utilizan mensajes de equipo, que pueden parecer comunicaciones internas legítimas.
Si bien el equipo muestra advertencias cuando alguien externo a la empresa intenta contactarlos, parece que las víctimas ignoraron la advertencia y aún así aceptaron otorgar acceso. Una vez dentro, los atacantes pueden propagarse rápidamente por la red, instalar más equipos y recopilar datos confidenciales. Los pasos exactos pueden variar, pero el objetivo suele ser mantener el acceso y robar información valiosa.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
