Se ha identificado una sofisticada campaña de phishing dirigida a sectores financieros y de salud, donde los atacantes utilizan Microsoft Teams como vector de ataque para desplegar el malware A0Backdoor, vinculado a actores relacionados con BlackBasta.
Los atacantes combinan técnicas de ingeniería social con herramientas legítimas para evadir los controles de seguridad: primero saturan el correo de la víctima con spam (email bombing) para generar estrés, luego se hacen pasar por el equipo de IT a través de Microsoft Teams y convencen al usuario de otorgar acceso remoto mediante Quick Assist; una vez dentro, instalan archivos maliciosos disfrazados de software legítimo y utilizan técnicas avanzadas como DLL sideloading para ejecutar el malware A0Backdoor sin ser detectados, el cual se comunica con sus servidores mediante consultas DNS tipo MX, evitando así los mecanismos tradicionales de monitoreo.
Riesgos principales
- Acceso remoto no autorizado
- Robo de credenciales
- Movimiento lateral en la red
- Exfiltración de información
- Despliegue posterior de ransomware
Recomendaciones:
- Establecer políticas claras: IT nunca solicita acceso remoto sin ticket previo
- Restringir o deshabilitar Quick Assist mediante GPO
- Monitorear consultas DNS inusuales (especialmente registros MX)
- Validar identidades en canales internos (Zero Trust)
- Fortalecer controles en Microsoft Teams (mensajes externos, tenants)
Conclusión:
Esta campaña demuestra cómo los atacantes están evolucionando: ya no explotan vulnerabilidades técnicas, sino la confianza en herramientas corporativas.
Referencias
https://cybersecuritynews.com/hackers-attack-over-microsoft-teams/