Se ha identificado un nuevo vector de ataque que representa una amenaza significativa para las organizaciones que utilizan Microsoft Teams y OneDrive. Este ataque combina la explotación de la memoria caché del navegador con el uso de proxies DLL.
La técnica, conocida como ‘contrabando de caché del navegador’, permite a los atacantes eludir las medidas de seguridad convencionales. Esto se logra manipulando los mecanismos de almacenamiento en caché de los navegadores para distribuir software malicioso, el cual se disfraza de archivos legítimos.
Los navegadores modernos almacenan archivos estáticos, como imágenes y scripts de JavaScript, para optimizar el rendimiento. Los atacantes aprovechan esta funcionalidad alojando archivos DLL maliciosos en páginas web, ocultándolos bajo la apariencia de contenido inofensivo:
Por ejemplo, una página HTML maliciosa que incorpora un <img src=»payload.dll»> oculto hace que el navegador almacene en caché la DLL.
Luego, los atacantes diseñan socialmente a la víctima para que ejecute un comando de PowerShell que localiza la DLL almacenada en caché y la mueve a un directorio de alto riesgo, como las carpetas de datos de aplicaciones locales de Microsoft Teams o OneDrive.
Los atacantes utilizan el proxy DLL para evitar que las aplicaciones fallen y eludir el software antivirus. Las aplicaciones legítimas como Teams cargan archivos DLL desde sus directorios de instalación, siguiendo el orden de búsqueda de DLL de Windows. Al colocar una DLL maliciosa en estos directorios, los atacantes secuestran el proceso.
La DLL maliciosa envía llamadas a funciones legítimas a la DLL original mientras ejecuta cargas útiles como balizas Cobalt Strike. Por ejemplo, un VERSION.dll falsificado en el directorio de Teams:
- Ejecute malware para establecer una conexión C2.
- Reenvíe llamadas API legítimas a la DLL genuina.
Esta doble funcionalidad garantiza que la aplicación se ejecute normalmente, lo que reduce las sospechas.
Orange Cyberdefense utilizó Microsoft Teams y OneDrive como objetivos ideales porque:
- Se ejecutan con privilegios de usuario, lo que permite el secuestro de DLL sin derechos de administrador.
- Su frecuente comunicación por Internet enmascara tráfico malicioso.
Los atacantes utilizan un script de PowerShell para buscar en la caché del navegador (por ejemplo, caché2/entradas de Firefox) la DLL de contrabando y copiarla en el directorio de Teams.
El contrabando de caché del navegador evita las defensas basadas en la red aprovechando el comportamiento legítimo del navegador, mientras que el proxy DLL oculta el malware en procesos confiables. Dado que el 78 % de las empresas dependen de Microsoft 365, esta técnica plantea un riesgo generalizado.
A medida que los navegadores y las empresas adoptan gradualmente políticas de caché más estrictas, los equipos rojos y los defensores deben priorizar la comprensión de estas superficies de ataque en evolución.
La técnica, destacada por primera vez en Insomni’hack 2025, subraya la necesidad de contar con defensas en capas contra ataques de ingeniería social que aprovechen software confiable.
