Los ciberdelincuentes se han aprovechado de prácticamente todos los aspectos del coronavirus para intentar aumentar el negocio. Entre otras consecuencias, la necesidad de ponerse en cuarentena y trabajar desde casa ha provocado un aumento en la demanda de aplicaciones de reuniones virtuales y chat de video, incluidos los equipos de Microsoft orientados a los negocios. Una nueva campaña de phishing descubierta por el proveedor de seguridad Abnormal Security está explotando el mayor uso de Teams como una forma de secuestrar las credenciales de la cuenta de Microsoft.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (Premium de TechRepublic)

En una publicación de blog publicada el viernes, Abnormal Security encontró una serie de correos electrónicos convincentes diseñados para falsificar los mensajes de notificación de Microsoft Teams.

En una campaña, el correo electrónico de phishing incluye un enlace a un documento en un dominio utilizado por un proveedor legítimo de marketing por correo electrónico para alojar contenido para campañas de marketing. Dentro del documento hay una imagen que solicita a los usuarios que inicien sesión en su cuenta de Microsoft Teams. Pero, si alguien hace clic en esta imagen, aparece una página maliciosa que se hace pasar por el sitio de inicio de sesión de Microsoft Office con el objetivo de capturar las credenciales del usuario.

En otra campaña, se redirige al usuario a una página alojada en YouTube y luego se le redirige dos veces más hasta que llega a una página de phishing de Microsoft para obtener las credenciales de inicio de sesión. Los atacantes utilizan varios redireccionamientos de URL tanto para disfrazar la URL real como para intentar evadir el filtrado de enlaces maliciosos que utilizan los productos de seguridad de correo electrónico.

Imagen: Seguridad anormal

Según Kenneth Laio, vicepresidente de estrategia de seguridad cibernética de Abnormal Security, la primera campaña comenzó el 14 de abril y continuó durante dos días, pero no ha sucedido desde entonces. La segunda campaña comenzó el 29 de abril, duró unas pocas horas y no ha sido registrada desde entonces.

Los correos electrónicos de phishing se enviaron a clientes extraños en industrias que incluyen energía, comercio minorista y hotelería, dijo Laio. Sin embargo, los ataques no estaban dirigidos a ninguna empresa o industria en concreto y, de hecho, estaban diseñados de forma genérica para que pudieran lanzarse contra cualquier persona.

Las páginas de destino que alojan las páginas de phishing se crearon para parecerse a las páginas reales de Microsoft. Las imágenes se copiaron de notificaciones y correos electrónicos reales de Microsoft, según Abnormal Security. Además, el correo electrónico del remitente es de un dominio llamado "sharepointonline-irs.com", que puede parecer legítimo a primera vista, pero no está registrado ni por Microsoft ni por el IRS.

Las imágenes pueden ser particularmente atractivas en un dispositivo móvil donde ocupan la mayor parte del contenido en pantalla. Además, es posible que los usuarios acostumbrados a las notificaciones de Microsoft y otros proveedores no investiguen los mensajes y simplemente muerdan el anzuelo. Dado que Microsoft Teams está vinculado a Microsoft 365 y Office 365, cualquier credencial robada en la estafa podría usarse para iniciar sesión en otras cuentas y servicios de Microsoft.

Para ayudar a las organizaciones a defenderse a sí mismas y a sus empleados contra estas estafas de phishing de Microsoft Teams, Laio ofrece dos consejos.

"Aconsejamos a las organizaciones y a sus empleados que verifiquen dos veces el nombre y la dirección del remitente en busca de mensajes o notificaciones de Microsoft Teams", dijo Laio. "Para ambas campañas, los nombres de los remitentes son inocuos ("contenido de chat" y "flujo de trabajo"), pero las direcciones de correo electrónico desde las que se envían no tienen conexión con Microsoft, Microsoft Teams o la propia organización.

“Además, recomendamos a todos que siempre verifiquen la URL de la página web antes de iniciar sesión. Los atacantes a menudo ocultan enlaces maliciosos en los redireccionamientos o los alojan en sitios web separados accesibles a través de enlaces seguros. Esto les permite eludir el análisis de enlaces en los correos electrónicos mediante soluciones de seguridad de correo electrónico tradicionales.

Imagen: Getty Images/iStockphoto