Un grupo de hackers vinculados al gobierno ruso ha llevado a cabo una serie de ciberataques contra al menos 40 entidades internacionales, utilizando como principal herramienta Microsoft Teams, el popular software de videollamadas de la compañía de Redmond.

La campaña de ataques, que comenzó a fines de mayo, ha afectado a gobiernos, ONGs, empresas de tecnología, o medios de comunicación, tanto de Europa como de los Estados Unidos.

La estrategia usada, basada en ataques de phishing, consistía en hacerse pasar por personal de soporte técnico de Microsoft Teams en los chats y, mediante engaños, robar las credenciales de acceso de los usuarios.

De nada sirve la tecnología si caemos en la ingeniería social

Para ello crearon dominios y cuentas falsas que les facilitaban hacerse pasar por el soporte técnico de Microsoft Teams. Luego, contactaban con los usuarios de Teams en los chats, intentando convencerles para ingresar un código en la aplicación Microsoft Authenticator de sus dispositivos móviles.

Si el usuario objetivo acepta la solicitud de chat e ingresa el código en la app, el ciberestafador obtiene un token para autenticarse como el propio usuario. A través de este engaño (no muy distinto a otras estafas vistas en WhatsApp, por ejemplo), los hackers buscaban obtener acceso a la cuenta de Microsoft 365 del usuario, de donde extraerá todo tipo de información confidencial.

El listado de subdominios maliciosos hecho público por Microsoft es el siguiente:

msftprotection.onmicrosoft[.]com
identityVerification.onmicrosoft[.]com
accountsVerification.onmicrosoft[.]com
azuresecuritycenter.onmicrosoft[.]com
teamsprotection.onmicrosoft[.]com

El uso de …