Se ha emitido una alerta de ciberinteligencia tras la identificación de una sofisticada campaña de ingeniería social en la que actores de amenazas están evadiendo las defensas de correo electrónico tradicionales al abusar de herramientas de colaboración empresarial legítimas. Los atacantes suplantan la identidad del personal de soporte técnico (Helpdesk) a través de Microsoft Teams para engañar a los empleados y lograr que autoricen sesiones de acceso remoto utilizando Microsoft Quick Assist. Esta técnica, basada enteramente en interacciones operadas por humanos (Human-Operated), permite a los cibercriminales eludir las detecciones de malware en la fase de acceso inicial y establecer una cabeza de puente persistente en redes corporativas de alto valor.
Anatomía del Ataque
El equipo de investigación de Microsoft Defender ha documentado una cadena de ataque que destaca por su velocidad de ejecución y su capacidad para mimetizarse con el tráfico y las rutinas operativas habituales de TI:
- Contacto Inicial Falso (Teams): El atacante, operando desde un inquilino (tenant) de Microsoft 365 externo y comprometido, envía un mensaje no solicitado por Teams a la víctima objetivo. Al presentarse a través de una plataforma corporativa confiable, la víctima suele bajar la guardia e ignorar las alertas de “contacto externo”.
- Acceso Remoto Legítimo (Quick Assist): Bajo el pretexto de resolver un problema técnico urgente, el atacante convence a la víctima de aceptar una solicitud de conexión a través de Quick Assist. Esto otorga al cibercriminal control interactivo total sobre la estación de trabajo.
- Reconocimiento y Carga Útil (120 Segundos): Una vez dentro, el atacante despliega comandos de reconocimiento rápido para evaluar privilegios y conectividad. Si la máquina es viable, deposita una carga útil en directorios de usuario (como ProgramData).
- Ejecución Furtiva (DLL Side-Loading): Para evadir los EDR, los atacantes abusan de binarios legítimos y firmados digitalmente (como AcroServicesUpdater2_x64.exe o DlpUserAgent.exe) para realizar Carga Lateral de DLL (DLL Side-Loading). El programa legítimo carga ciegamente la DLL maliciosa del atacante.
- C2 Oculto en Registro y Movimiento Lateral: La DLL maliciosa descifra su configuración de Comando y Control (C2) directamente desde el registro de Windows, evitando escribir binarios sospechosos en el disco (similar al framework Havoc). Posteriormente, los atacantes utilizan Windows Remote Management (WinRM) para pivotar hacia controladores de dominio y ejecutan la herramienta Rclone para exfiltrar documentos hacia almacenamiento en la nube antes del cifrado.
Impacto
Esta campaña de “Vivir de la Tierra” (Living off the Land) presenta un riesgo severo para la infraestructura corporativa:
- Evasión Perimetral: Al originarse en un tenant legítimo de Microsoft y utilizar Quick Assist, el ataque inicial no genera alertas en los Secure Email Gateways (SEG) ni en los cortafuegos.
- Escalada Silenciosa: El uso de DLL Side-Loading bajo procesos firmados por proveedores (como Adobe o Microsoft) hace que la ejecución de la carga útil sea extremadamente difícil de detectar para las soluciones antivirus convencionales.
- Compromiso Total y Exfiltración: El pivoteo rápido hacia los Controladores de Dominio y el uso de Rclone aseguran el robo masivo de propiedad intelectual antes de que el SOC pueda correlacionar las alertas de la estación de trabajo inicial.
Recomendaciones y Mitigación
Para neutralizar esta cadena de ataque híbrida (Ingeniería Social + LotL), las organizaciones deben implementar controles estrictos en sus herramientas de colaboración:
- Restricción de Comunicaciones en Teams: Configurar el tenant de Microsoft 365 para restringir o bloquear completamente la comunicación entrante desde dominios y tenants externos no autorizados. Alertar a los usuarios para que jamás ignoren los banners de “Contacto Externo”.
- Control de Herramientas Remotas (Quick Assist/WinRM): Deshabilitar Quick Assist en las estaciones de trabajo de los usuarios mediante Políticas de Grupo (GPO) o Intune, a menos que sea estrictamente necesario. Del mismo modo, restringir el uso de WinRM exclusivamente a estaciones de trabajo administrativas designadas (PAW).
- Reglas de Reducción de Superficie de Ataque (ASR): Habilitar directivas de ASR y Windows Defender Application Control (WDAC) para bloquear la ejecución de código o la carga de bibliotecas (DLLs) desde ubicaciones con permisos de escritura para usuarios estándar, como %AppData% y C:\ProgramData\.
- Cacería de Amenazas (Hunting): Instruir a los analistas del SOC para que establezcan reglas de correlación que alerten inmediatamente sobre la ejecución simultánea o secuencial de Quick Assist seguida de actividad inusual de línea de comandos, o la ejecución de herramientas de sincronización de datos como Rclone.exe en entornos no esperados.
- Autenticación Humana: Establecer un protocolo obligatorio de “palabra de seguridad” (Santo y Seña) o una videollamada para que los usuarios verifiquen la identidad de los técnicos de Helpdesk antes de conceder cualquier tipo de acceso remoto a sus equipos.
