La herramienta BOF apunta a las cookies de Microsoft Teams

ICSLabs ha identificado una técnica que permite a actores maliciosos interactuar con las APIs de Microsoft Teams, Skype y Microsoft Graph para leer y enviar mensajes en nombre de la víctima, facilitando la exfiltración de datos, ataques de spear-phishing internos y movimientos laterales, sin necesidad de contraseña ni de evadir directamente la autenticación multifactor (MFA).

La técnica explota la forma en que Microsoft Teams utiliza procesos WebView (msedgewebview2.exe) y almacena cookies en una base de datos SQLite local. Herramientas adaptadas de "Cookie-Monster-BOF" son capaces de duplicar los manejadores abiertos al archivo de cookies, leer el archivo SQLite y utilizar la clave DPAPI del usuario para descifrar la clave de estado, lo que les permite obtener cookies válidas que autorizan acciones en nombre del usuario. En Teams, esta extracción no requiere privilegios elevados, ya que solo necesita ejecutarse en el contexto del mismo usuario atacado (mediante ejecución de código arbitrario dentro del proceso ms-teams.exe o procesos con los mismos permisos).

El impacto es significativo: sesiones activas pueden ser secuestradas para comprometer comunicaciones internas y activar APIs de Graph para actividades adicionales. Además, la herramienta utilizada sigue siendo compatible con múltiples frameworks de comando y control.

Los indicadores y artefactos a monitorear incluyen la presencia y actividad de los procesos ms-teams.exe y msedgewebview2.exe y sus procesos hijo WebView, accesos inusuales y lectura de archivos típicos de cookies/SQLite de Teams (por ejemplo, bajo %LOCALAPPDATA%MicrosoftTeams o los perfiles WebView2 del usuario), detección de duplicación de manejadores o llamadas a APIs de gestión de manejadores (indicativo de DuplicateHandle/ProcessAccess), inyección de código o módulos sospechosos cargados en ms-teams.exe, lecturas de archivos SQLite de cookies por procesos inesperados, y tráfico de exfiltración o llamadas anómalas a endpoints externos inmediatamente después del acceso a cookies.

Últimas actualizaciones

• 23 de agosto de 2025: El blog Randorisec publicó el artículo titulado “Stealing Microsoft Teams access tokens in 2025”, en el cual se demuestra que capturar las cookies de Teams permite la interacción entre Teams, Skype y las APIs de Graph para enviar y recibir mensajes

• 3 de agosto de 2025: El usuario de Github “clod81” publicó en Github la herramienta teams-cookies-bof, que utiliza la técnica mencionada en el artículo citado anteriormente.