SOC Prime Bias: Alto

29 Jun 2026 06:08 UTC

Campaña de Phishing Temática de Microsoft Teams Entrega Acceso Remoto

Author Photo
SOC Prime Team linkedin icon Seguir
Campaña de Phishing Temática de Microsoft Teams Entrega Acceso Remoto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una campaña de phishing activa utiliza cebos con tema de Microsoft Teams para distribuir herramientas legítimas de acceso remoto con fines de acceso no autorizado. Las víctimas son dirigidas a páginas de aterrizaje fraudulentas que impersonan servicios de productividad para descargar instaladores maliciosos. La operación utiliza una estrategia de infraestructura dual que involucra tanto sitios web legítimos comprometidos como alojamiento en la nube controlado por atacantes.

Investigación

La investigación identificó una campaña multi-temática que aprovecha la ingeniería social para impulsar descargas de software. El análisis reveló una infraestructura consistente en sitios web de pequeñas empresas comprometidos y servicios dedicados alojados en Cloudflare. Las actividades posteriores a la ejecución incluyen una integración profunda en el sistema mediante la instalación de servicios, el registro del paquete de autenticación LSA y el secuestro de objetos COM para el acceso persistente.

Mitigación

Las organizaciones deben implementar MFA resistente a phishing y listas de permitir de aplicaciones para restringir la instalación de software no autorizado. Los equipos de seguridad deben monitorear la creación inusual de servicios de Windows, las modificaciones del paquete de autenticación LSA y los cambios en el registro de SafeMode. El entrenamiento de concienciación del usuario debe centrarse específicamente en verificar las notificaciones inesperadas de plataformas de colaboración.

Respuesta

Tras la detección, las organizaciones deben aislar los endpoints afectados para prevenir más movimientos laterales. Realizar una revisión forense para identificar y eliminar todos los mecanismos de persistencia, incluidos los proveedores de credenciales personalizados y los objetos COM. Se recomienda encarecidamente un restablecimiento completo de credenciales para todas las cuentas de usuario afectadas.

"flowchart TD step_initial_access["Acceso Inicial: T1566.002 u2013 Phishing: Enlace de Spearphishing a través de notificaciones de Microsoft Teams impersonadas"] step_drive_by["T1189 u2013 Compromiso a través de una página de aterrizaje fraudulenta que solicita la descarga de un instalador"] step_user_execution["Ejecución del Usuario: T1204.002 u2013 Archivo Malicioso; involucra verificaciones de sistema (T1497.001) y demora en la ejecución (T1678)"] step_execution_injection["T1055 u2013 Inyección de Proceso mediante el registro de objetos COM y uso de herramientas de acceso remoto (T1219)"] rules_for_execution_injection("<b>Nombre de la Regla</b>: Comando y Control Suspicioso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (via dns)<br/><b>ID de la Regla</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistencia: T1543.003 (Servicio de Windows), T1547.002 (Autoinicio de Boot/Logon) y T1546.015 (Secuestro de COM)"] step_credential_access["Acceso a Credenciales: T1556 u2013 Modificación del Proceso de Autenticación para interceptar credenciales durante el inicio de sesión"] step_initial_access –>|conduce_a| step_drive_by step_drive_by –>|conduce_a| step_user_execution step_user_execution –>|conduce_a| step_execution_injection step_execution_injection –>|conduce_a| step_persistence step_persistence –>|conduce_a| step_credential_access step_execution_injection -.->|detectado_por| rules_for_execution_injection "

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El Chequeo Previo de Telemetría & Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y deben generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos: El adversario entrega un correo electrónico de phishing con tema de Microsoft Teams que contiene un enlace a un .msi paquete malicioso. Cuando el usuario ejecuta el paquete, msiexec.exe se invoca con parámetros diseñados para instalar una puerta trasera oculta. Para lograr persistencia, el instalador invoca rundll32.exe para cargar un DLL personalizado que registra un nuevo servicio de sistema. La línea de comando incluye específicamente la cadena service para imitar el comportamiento descrito en el informe de inteligencia de amenazas, activando así la regla de detección.

  • Script de Prueba de Regresión:

    # Script de simulación para activar la regla de detección
    # Objetivo: Ejecutar msiexec o rundll32 con 'service' en la línea de comandos
    
    Write-Host "[+] Iniciando Simulación: Activando Detección de Servicio MSI/Rundll32" -ForegroundColor Cyan
    
    # Escenario 1: Activar vía msiexec.exe
    Write-Host "[+] Escenario 1: Ejecutando msiexec con palabra clave 'service'..." -ForegroundColor Yellow
    Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait
    
    # Escenario 2: Activar vía rundll32.exe
    Write-Host "[+] Escenario 2: Ejecutando rundll32.exe con palabra clave 'service'..." -ForegroundColor Yellow
    Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait
    
    Write-Host "[+] Simulación Completa." -ForegroundColor Green
  • Comandos de Limpieza:

    # No se realizaron cambios permanentes con el script de simulación ya que usó binarios del sistema existentes 
    # y argumentos no destructivos. No se requiere limpieza.
    Write-Host "[+] Limpieza: No se crearon artefactos." -ForegroundColor Cyan