**Microsoft** está advirtiendo sobre una tendencia preocupante: los actores de amenazas abusan cada vez más de las funciones de colaboración externas de **Microsoft Teams**. Suplantan al personal de TI o de soporte técnico y utilizan herramientas legítimas para obtener acceso y moverse lateralmente dentro de las redes empresariales. Estos atacantes contactan a los empleados a través de chats entre inquilinos, haciéndose pasar por personal de soporte. Luego manipulan a los usuarios para que proporcionen acceso remoto, lo que finalmente conduce al robo de datos. Microsoft ha observado múltiples intrusiones siguiendo una cadena de ataque similar. Estos ataques frecuentemente involucran software comercial de gestión remota, como Quick Assist, y la utilidad **Rclone** para transferir archivos a servicios de almacenamiento en la nube externos. El gigante tecnológico enfatiza que la actividad maliciosa subsiguiente a menudo es difícil de distinguir de las operaciones normales debido a la gran dependencia de aplicaciones legítimas y protocolos administrativos nativos. "Los actores de amenazas abusan cada vez más de la colaboración externa de **Microsoft Teams** para suplantar al personal de TI o de soporte técnico y convencer a los usuarios de que otorguen acceso de asistencia remota", declaró Microsoft. "Desde este punto de apoyo inicial, los atacantes pueden aprovechar herramientas confiables y protocolos administrativos nativos para moverse lateralmente a través de la empresa y preparar datos confidenciales para su exfiltración, a menudo mezclándose con la actividad de soporte de TI rutinaria a lo largo del ciclo de vida de la intrusión", agregó la compañía. ### Ataque Multietapa En un informe reciente, **Microsoft** detalló una cadena de ataque de nueve etapas. Comienza con el actor de amenazas contactando al objetivo a través de un chat externo de **Teams**, suplantando a un miembro del personal de TI de la empresa y alegando la necesidad de abordar un problema de cuenta o realizar una actualización de seguridad. El objetivo final es persuadir al objetivo para que inicie una sesión de soporte remoto, típicamente a través de Quick Assist, otorgando al atacante control directo sobre la máquina del empleado.  A partir de ahí, el atacante realiza un reconocimiento rápido utilizando el Símbolo del sistema y PowerShell, evaluando privilegios, membresía de dominio y alcanzabilidad de la red para evaluar el potencial de movimiento lateral. A continuación, implementan un pequeño paquete de payload en ubicaciones escribibles por el usuario, como ProgramData. Ejecutan el código malicioso a través de una aplicación confiable y firmada (por ejemplo, **Autodesk**, **Adobe Acrobat/Reader**, Windows Error Reporting, software de prevención de pérdida de datos) mediante la carga lateral de DLL. La comunicación basada en HTTPS al servidor de comando y control (C2), establecida de esta manera, se mezcla perfectamente con el tráfico saliente normal, lo que hace que la detección sea más desafiante. Con la infección establecida y la persistencia asegurada a través de modificaciones del Registro de Windows, el atacante procede a abusar de Windows Remote Management (WinRM) para moverse lateralmente a través de la red. Esto apunta a sistemas unidos a dominios y activos de alto valor, como controladores de dominio. Luego, implementan herramientas de software de gestión remota adicionales en sistemas accesibles y utilizan **Rclone** o herramientas similares para recopilar y exfiltrar datos confidenciales a puntos de almacenamiento en la nube externos.  Microsoft señala que este paso de exfiltración está altamente dirigido, empleando filtros para centrarse exclusivamente en información valiosa, reducir el volumen de transferencia y mejorar el sigilo operativo. Microsoft insta a los usuarios a tratar los contactos externos de **Teams** como no confiables por defecto. La compañía también recomienda que los administradores restrinjan o monitoreen de cerca las herramientas de asistencia remota y limiten el uso de WinRM a sistemas controlados. Además, la compañía destaca las advertencias de seguridad de **Teams** que marcan explícitamente las comunicaciones de personas ajenas a la organización y los posibles intentos de phishing.