Cabecera-v2-web.jpg

Cibercriminales atacan aplicaciones de teleconferencias: Skype, Zoom y Microsoft Teams


En los últimos tiempos se han incrementado los casos de ciberataques en aplicaciones de teleconferencias. Esto se debe a que, debido a la pandemia del COVID-19 muchos usuarios realizan trabajos remotos y hacen uso de estas herramientas, convirtiéndolas en un objetivo potencial para los cibercriminales. Los cibercriminales se valen de diversas técnicas: phishing, ingeniería social, o vulnerabilidades de las aplicaciones, y con esto buscan obtener acceso a las herramientas de teleconferencia de los usuarios.

A continuación detallamos algunas de las técnicas utilizadas en aplicaciones conocidas y de uso común.

Skype.

Las víctimas reciben supuestos correos oficiales de notificación de alerta, indicando que cuentan con tareas pendientes y que estas pueden ser visualizadas con un click en "Review" (enlace proporcionado en el correo). Al ingresar a dicho enlace, las víctimas son redirigidas a traves de una app.link a la página hxxps://skype-online0345[.]web[.]app, el cual se hace pasar por la página oficial de Skype, solicitando a la misma que inicie sesión con sus credenciales de acceso. El campo del usuario se rellena automáticamente (gracias a que la URL contiene la base64 del correo electrónico destino), lo que aumenta la probabilidad de que la víctima caiga en el engaño y provea sus credenciales.

Microsoft Teams.

En el caso de Microsoft Teams para versiones de escritorio y web. Existe un fallo en el manejo de los archivos multimedia, dicho fallo permitiría al cibercriminal, tomar control de un conjunto de cuentas Teams de una organización, enviando simplemente un enlace malicioso en la plataforma de video y chat. Este enlace redirige a una imagen aparentemente “inocente”.

El fallo se da en la autenticación de imágenes de Teams, ya que cada vez que se inicia la aplicación se crea un token de acceso JWT (JSON Web Token), el cual permite la comunicación entre ambas partes (Cliente y Servidor) con una serie de privilegios. Esto permite a los usuarios acceder a imágenes compartidas por personas dentro de la conversación. Sabiendo esto un cibercriminal podría forzar a la víctima a visitar algunos de los subdominios vulnerables (teams.microsoft.team, aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com), allí el navegador de la víctima enviará la cookie llamada authtoken al servidor del a, con lo que tendría la capacidad de crear el skype token. Permitiéndole así, obtener acceso a la cuenta Teams de la víctima.


Ataque a Microsoft Teams:

  1. Un cibercriminales envía un GIF o imagen maliciosa a la primera víctima
  2. La víctima visualiza dicho mensaje
  3. El cibercriminales se hace pasar por la víctima y envía otros GIFs maliciosos a los demás empleados.
  4. Los tokens de Teams de las víctimas son enviados al cibercriminales.
  5. Usando estos tokens comprometidos el cibercriminales obtiene acceso a las conversaciones de las víctimas.
Zoom.

En este caso, los cibercriminales hacen provecho de la ingeniería social, enviando correos electrónicos a potenciales víctimas, los mismo se hacen pasar por correos de recordatorios de una reunión empresarial importante, estas supuestas reuniones son catalogadas como urgentes, con el asunto de "Suspensión de Contrato/Terminación de prueba" , etc. Así, la víctima asustada procede a ingresar al enlace "Join this live meeting", confiando en que se trata de una reunión legítima, pero en realidad está siendo redirigidas a una página web falsa.

Dicha página solicita las credenciales para el inicio de sesión, haciendo un enfoque especial en la utilización de las credenciales empresariales.

Para más información acerca del phishing, puede visitar el siguente enlace: https://www.conectateseguro.gov.py/phishing/

Recomendaciones:

  • En caso de recibir un correo de este tipo, verifique su veracidad y eliminelo si si se sospecha que se trate de un caso de phishing. Es importante que no conteste ni envíe información personal.
  • En caso de ser necesario, introduzca sus datos sólo en páginas webs seguras o de confianza, las webs seguras deben de empezar con ‘https://’ y el icono de un pequeño candado cerrado.
  • Permanezca siempre atento para evitar el acceso indebido a su información personal. Algunas consideraciones a tener en cuenta para identificar correos de phishing:
    • La URL a la que redirige el enlace enviado, en ocasiones pueden haber diferencias (por ejemplo, para el caso de Skype: El dominio real sería, https://www.skype.com/, pero en cambio los ciberiminales utilizan hxxps://skype-online0345[.]web[.]app )
    • La forma en la que está redactado el correo, muchos de estos ciberataques suelen traducirse automáticamente o contienen faltas de ortografía, errores gramaticales que ninguna comunicación oficial de algún organismo o empresa lo tendría.
    • La dirección de correo del remitente, la misma debería estar vinculada con los servicios oficiales de la aplicación, además las empresas u organismos no solicitan que sean ingresados datos personales.
  • Para el caso de Microsoft Teams, se recomienda actualizar a la última versión disponible.
  • Reporte un caso de phishing a abuse@cert.gov.py, adjuntando la cabecera del correo electrónico recibido. Para obtener la cabecera del correo electrónico, puede seguir los pasos indicados en el siguiente enlace.
Referencias:
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11