Los investigadores han descubierto más formas de abusar de los equipos de Microsoft para robar las credenciales de usuario de Office 365 mediante la propagación de malware, según afirma un nuevo informe.
Nuevos hallazgos de Proofpoint (se abre en una pestaña nueva) han afirmado que los piratas informáticos pueden abusar de la función Pestañas, utilizada para sincronizar entre Microsoft Teams y Calendar, y la API de Teams, para entregar cuentagotas o páginas de phishing a víctimas desprevenidas.
La función Pestañas proporciona a los usuarios de Teams acceso rápido a diferentes herramientas, como OneDrive. Como las pestañas predeterminadas no se pueden mover, los usuarios pueden acostumbrarse a otras diferentes y usarlas sin dudar de su naturaleza benigna. Sin embargo, hay una forma de mover las pestañas predeterminadas, que los ciberdelincuentes podrían usar para cambiar las legítimas por las maliciosas. En uno de esos ejemplos, dice Proofpoint, una pestaña de «Sitio web» podría apuntar a una página de inicio maliciosa donde las víctimas podrían terminar regalando sus credenciales de Office 365.
abusando de reuniones
La pestaña Sitio web también se puede cambiar para que apunte a un archivo, que se descargaría automáticamente al hacer clic. Los ciberdelincuentes podrían abusar de esta funcionalidad para entregar cuentagotas, dijeron los investigadores.
Las invitaciones a reuniones de Microsoft Teams también se pueden armar: cuando un miembro crea una reunión en línea (se abre en una pestaña nueva), la plataforma genera múltiples enlaces y los envía a los invitados. Con la ayuda de las llamadas a la API de Teams, un actor de amenazas podría intercambiar los enlaces legítimos por enlaces maliciosos.
Los delincuentes también pueden optar por un enfoque diferente, utilizando la API de Teams o la interfaz de usuario para armar los enlaces existentes en los mensajes enviados. En este escenario, el hipervínculo que reciben las víctimas no cambiaría, solo la URL detrás de él, lo que dificultaría aún más el descubrimiento.
Si bien los investigadores advierten que estos métodos son peligrosos, enfatizaron que para que sean efectivos, los atacantes deben obtener una cuenta de Teams de antemano.