Microsoft advierte sobre una nueva amenaza de malware que se distribuye a través de los chats de Teams

Microsoft ha enviado una alerta de ciberseguridad sobre un actor de amenazas que utiliza los chats de Microsoft Teams para distribuir malware. El actor de amenazas ha sido etiquetado como Storm-0324 y Microsoft dice que este grupo ha estado activo desde 2016.

En una publicación de blog , Microsoft declaró que en julio de 2023, “se observó que Storm-0324 distribuía cargas útiles utilizando una herramienta de código abierto para enviar señuelos de phishing a través de los chats de Microsoft Teams”. El blog agregó que el grupo ha distribuido principalmente el malware JSSLoader desde 2019. Este malware luego puede ser utilizado por otro grupo de actores de amenazas conocido como Sangria Tempest para colocar archivos ransomware en una PC.

Microsoft explicó:

La cadena de entrega de Storm-0324 comienza con correos electrónicos de phishing que hacen referencia a facturas o pagos y contienen un enlace a un sitio de SharePoint que aloja un archivo ZIP. Microsoft continúa trabajando en todas sus plataformas para identificar abusos, eliminar actividades maliciosas e implementar nuevas protecciones proactivas para disuadir a actores malintencionados de utilizar nuestros servicios.

Microsoft agrega que estos correos electrónicos podrían parecer documentos reales de empresas como DocuSign, Quickbooks y otras. En algunos casos, estos archivos también requieren que la víctima del malware ingrese un código de seguridad o una contraseña. Esto puede hacer que estos documentos falsos parezcan más realistas.

Microsoft dice que ha tomado varias medidas para evitar que este tipo de malware se distribuya en los chats de Teams. Eso incluye suspender cuentas que se confirme que han participado en actividades fraudulentas.

También ha agregado mejoras a la experiencia Aceptar/Bloquear en los chats uno a uno de Teams. La compañía también impuso nuevas restricciones a «la creación de dominios dentro de los inquilinos y notificaciones mejoradas a los administradores de los inquilinos cuando se crean nuevos dominios dentro de su inquilino».

Microsoft también enumera una serie de formas en que las empresas que utilizan los chats en equipo pueden tomar medidas preventivas para no verse afectadas por este nuevo ataque de phishing. Estos incluyen permitir que solo dispositivos conocidos se conecten a Teams, y también educar a los empleados sobre cómo se realizan los ataques de phishing y malware, y revisar las actividades de inicio de sesión sospechosas.