Se ha identificado una sofisticada campaña de phishing en la que actores maliciosos están abusando de la funcionalidad legítima de Microsoft Teams para distribuir contenido malicioso que parece provenir de servicios confiables de Microsoft. Al aprovechar la función de "Invitar a un invitado" de la plataforma y crear nombres de equipos engañosos, los atacantes están eludiendo los controles de seguridad tradicionales del correo electrónico para enviar notificaciones fraudulentas de facturación directamente.

Se ha identificado una sofisticada campaña de phishing en la que los actores de amenazas están abusando de la funcionalidad legítima de Microsoft Teams para distribuir contenido malicioso que parece provenir de servicios confiables de Microsoft.

Al aprovechar la función “Invitar a un invitado” de la plataforma y crear nombres de equipos engañosos, los atacantes están eludiendo los controles tradicionales de seguridad del correo electrónico para enviar notificaciones fraudulentas de facturación directamente a las bandejas de entrada de las víctimas.

La metodología del ataque se basa en explotar la confianza que los usuarios depositan en las notificaciones automáticas de plataformas de colaboración. En lugar de suplantar direcciones de correo electrónico o inyectar URLs maliciosas, los atacantes crean nuevos equipos dentro de Microsoft Teams, asignándoles nombres diseñados para imitar alertas financieras urgentes. Estos nombres suelen hacer referencia a renovaciones de suscripciones o avisos de pago automático para generar pánico.

Un ejemplo específico observado en la naturaleza incluye nombres de equipos como: “Aviso de Pago Automático de Suscripción (ID de Factura: 2025_614632PPOT_SAG Monto 629.98 USD). Si no autorizaste o completaste este pago mensual, por favor contacta a nuestro equipo de soporte con urgencia.”

Una vez creado el equipo, el atacante envía invitaciones a objetivos externos utilizando la función nativa “Invitar a un invitado”. El destinatario recibe un correo electrónico directamente desde una dirección legítima de Microsoft (por ejemplo, noreply@email.teams.microsoft.com).

Dado que la infraestructura de correo electrónico es genuina, supera fácilmente las verificaciones de SPF, DKIM y DMARC. Sin embargo, el cuerpo del correo muestra el nombre del equipo malicioso que contiene el mensaje fraudulento de facturación y un número de teléfono de soporte en una fuente grande y destacada.

Esta campaña se distingue por su uso de ingeniería social basada en llamadas telefónicas (vishing). En lugar de dirigir a los usuarios a un sitio de recolección de credenciales, el texto instruye a las víctimas a llamar a una línea de soporte fraudulenta para resolver el supuesto cargo.

Para evadir los filtros automáticos de contenido, los atacantes emplean técnicas de ofuscación dentro del nombre del equipo, utilizando sustituciones de caracteres, caracteres Unicode mezclados y glifos visualmente similares.

La escala de esta operación es significativa, con telemetría que indica un enfoque amplio e indiscriminado en lugar de espionaje dirigido. Investigadores de seguridad registraron un total de 12,866 mensajes de phishing distribuidos durante el pico de la campaña, con un promedio de 990 mensajes diarios. Estos ataques alcanzaron aproximadamente 6,135 clientes distintos.

La distribución de los objetivos sugiere que los atacantes buscaban explotar la adopción generalizada de Microsoft Teams. Los sectores de manufactura, ingeniería y construcción fueron los más afectados, representando el 27.4% de las organizaciones impactadas.

Le siguieron el sector de Tecnología/SaaS/TI con un 18.6% y el sector Educación con un 14.9%. Otros sectores afectados incluyeron servicios profesionales, gobierno y finanzas.

Distribución geográfica de los objetivos

La campaña demostró un alcance global, aunque el enfoque principal se mantuvo en objetivos de América del Norte. Las organizaciones en Estados Unidos representaron el 67.9% del total de víctimas. Las entidades europeas representaron el 15.8%, seguidas por Asia con un 6.4%.

Un desglose regional específico del impacto en América Latina (LATAM) muestra una concentración en Brasil y México:

Esta campaña pone de relieve una brecha crítica en la seguridad de las plataformas de colaboración: la dependencia de la inspección de contenido dentro de las invitaciones generadas por plataformas confiables. Dado que el mecanismo de entrega del correo electrónico es legítimo, las organizaciones no pueden depender únicamente de los protocolos de autenticación de correo electrónico para bloquear estas amenazas.

Los equipos de seguridad deben educar a los usuarios para que examinen detenidamente las invitaciones inesperadas de Teams, especialmente aquellas que contengan lenguaje financiero urgente, números de teléfono o formatos de caracteres inusuales.