Microsoft Teams se ha convertido en una de las plataformas de comunicación y colaboración más populares en el mundo empresarial, especialmente tras el aumento del teletrabajo debido a la pandemia de COVID-19. Sin embargo, esta popularidad también la hace un objetivo atractivo para los ciberdelincuentes, que buscan aprovechar sus vulnerabilidades para realizar ataques de phishing y distribuir malware.

Una de las herramientas que facilita este tipo de ataques es TeamsPhisher, n programa desarrollado en Python3 que permite enviar mensajes y archivos adjuntos de phishing a usuarios de Teams cuyas organizaciones permiten la comunicación externa. Normalmente, no es posible enviar archivos a los usuarios de Teams que no pertenecen a la misma organización. Sin embargo, algunos investigadores de seguridad han descubierto formas de eludir esta restricción manipulando las peticiones web de Teams para alterar el destinatario de un mensaje con un archivo adjunto. TeamsPhisher incorpora esta técnica, además de otras anteriores, para ofrecer un medio robusto, personalizable y eficiente para realizar operaciones de phishing autorizadas a través de Teams.

¿Cómo funciona TeamsPhisher?

TeamsPhisher se basa en el uso de cuentas legítimas de Teams para autenticarse y enviar mensajes a los usuarios objetivo. Estas cuentas pueden ser obtenidas mediante técnicas de enumeración o fuerza bruta, o bien mediante el compromiso previo de otros usuarios. Una vez que se dispone de una cuenta válida, TeamsPhisher realiza los siguientes pasos:

1. Comprueba si el usuario objetivo puede recibir mensajes externos. Esto se hace enviando una petición GET al endpoint /users/{user_id}/canReceiveMessageFromGuests de la API Graph de Microsoft.
2. Crea un nuevo hilo con el usuario objetivo y envía un mensaje con un enlace a un archivo adjunto alojado en Sharepoint. Este archivo puede contener código malicioso o una carga útil que permita el acceso remoto al sistema del usuario.
3. Modifica la petición POST que se envía al endpoint /chats/{chat_id}/messages para cambiar el destinatario del mensaje por el usuario objetivo. Esto hace que el mensaje aparezca como si fuera enviado por otro usuario dentro de la organización del objetivo, aumentando así la credibilidad del ataque.
4. Espera a que el usuario objetivo abra el archivo adjunto y ejecute el código malicioso.

¿Qué riesgos implica TeamsPhisher?

TeamsPhisher representa una amenaza significativa para los usuarios de Microsoft Teams, ya que puede aprovecharse de la confianza que estos tienen en su plataforma de comunicación interna. Al enviar mensajes que parecen provenir de personas conocidas, los atacantes pueden persuadir a los usuarios para que abran archivos maliciosos o accedan a sitios web fraudulentos. Esto puede conducir a la instalación de malware, el robo de credenciales, la exfiltración de datos o el control remoto del sistema.

Además, TeamsPhisher puede evadir las medidas de seguridad que Microsoft ha implementado para proteger a los usuarios de Teams. Por ejemplo, TeamsPhisher puede evitar la detección de antivirus al utilizar archivos adjuntos alojados en Sharepoint, que son considerados como fuentes confiables por Teams. Asimismo, TeamsPhisher puede sortear las políticas de seguridad que restringen el envío de archivos a usuarios externos, ya que modifica las peticiones web para hacerlas pasar por internas.

¿Cómo protegerse de TeamsPhisher?

Para mitigar el riesgo de caer víctima de TeamsPhisher, se recomienda seguir las siguientes buenas prácticas:

• Desconfiar de los mensajes que solicitan abrir archivos adjuntos o acceder a enlaces externos, especialmente si provienen de usuarios desconocidos o inesperados.
• Verificar la identidad del remitente del mensaje, comprobando su dirección de correo electrónico y su perfil en Teams.
• Analizar los archivos adjuntos con herramientas antivirus antes de abrirlos o ejecutarlos.
• Reportar cualquier actividad sospechosa o incidente de seguridad al equipo responsable dentro de la organización.

Para más información sobre TeamsPhisher, se pueden consultar las siguientes fuentes:

• GitHub – Octoberfest7/TeamsPhisher: Send phishing messages and attachments to Microsoft Teams users
• Cómo envian malware o mensajes de phishing a través de teams esquivando las funciones de seguridad
• TeamsPhisher: Nueva herramienta explota fallo en Microsoft Teams
• TeamsPhisher Tool Exploits Microsoft Teams to Deploy Malware