Los ciberdelincuentes distribuyen instaladores falsos de Microsoft Teams a través de anuncios maliciosos para desplegar el malware de puerta trasera Oyster, dirigido a los usuarios de software de colaboración empresarial.
Investigadores de ciberseguridad han identificado una campaña sofisticada en la que los ciberdelincuentes utilizan anuncios maliciosos y técnicas de optimización de motores de búsqueda para distribuir instaladores falsos de Microsoft Teams que contienen el malware de puerta trasera Oyster.
La campaña se dirige a los usuarios que buscan descargas legítimas de Microsoft Teams a través de motores de búsqueda.
Cuando los usuarios buscan términos como “descarga de Teams”, se encuentran con anuncios patrocinados fraudulentos que imitan fielmente las páginas de descarga oficiales de Microsoft.
Estos anuncios maliciosos redirigen a las víctimas a sitios web falsificados que alojan instaladores troyanizados disfrazados de software legítimo de Teams.
Infraestructura de distribución maliciosa
Un dominio de ataque identificado, teams-install[.]top, distribuyó archivos MSTeamsSetup.exe maliciosos a usuarios desprevenidos.
Los instaladores falsos parecen auténticos e incluso incluyen firmas digitales de entidades como “4th State Oy” y “NRM NETWORK RISK MANAGEMENT INC” para eludir las comprobaciones de seguridad básicas y reducir las sospechas de los usuarios.
Al ejecutarse, el instalador malicioso despliega la puerta trasera Oyster, también conocida como Broomstick, un malware modular de múltiples etapas diseñado para el acceso remoto persistente.
El dominio malicioso que sirve el instalador falso de Microsoft Teams
El malware coloca un archivo DLL llamado CaptureService.dll en una carpeta generada aleatoriamente dentro del directorio AppData del usuario.
Para mantener la persistencia, el malware crea una tarea programada llamada “CaptureService” que ejecuta regularmente rundll32.exe para cargar la DLL maliciosa.
Esta técnica permite que la puerta trasera se integre en la actividad normal del sistema Windows, manteniendo al mismo tiempo el acceso a largo plazo a los sistemas comprometidos.
La puerta trasera Oyster proporciona a los atacantes capacidades integrales, incluyendo acceso remoto al sistema, recopilación de información del host, comunicaciones de comando y control, y la capacidad de desplegar cargas útiles adicionales.
Durante esta campaña, los investigadores observaron que el malware se comunicaba con dominios controlados por el atacante, incluidos nickbush24[.]com y techwisenetwork[.]com.
Esta campaña guarda un parecido sorprendente con campañas anteriores de distribución falsa de PuTTY , lo que indica una tendencia recurrente en la que los ciberdelincuentes utilizan marcas de software de confianza como armas para establecer el acceso inicial al sistema.
Al suplantar herramientas de colaboración empresarial de uso común, los atacantes aumentan sus posibilidades de infección exitosa manteniendo el sigilo.
Los equipos de seguridad deben monitorear varios indicadores clave, incluyendo nuevas tareas programadas llamadas “CaptureService”, procesos rundll32.exe que cargan DLL desde directorios sospechosos y comunicaciones de red a dominios recién registrados.
Las organizaciones pueden protegerse implementando varias medidas de seguridad: descargar software exclusivamente de dominios oficiales de proveedores en lugar de resultados de búsqueda, usar marcadores guardados para descargas de software confiables, implementar controles de listas blancas para bloquear instaladores no firmados y brindar capacitación a los usuarios sobre los riesgos de la publicidad maliciosa.
La campaña destaca cómo los ciberdelincuentes siguen aprovechándose de la confianza de los usuarios en el software empresarial familiar y en los resultados de los motores de búsqueda para reducir las barreras de infección.
Al combinar técnicas de publicidad maliciosa con familias de malware comunes, los atacantes crean vectores de ataque eficaces que eluden los controles de seguridad tradicionales.
Fuente: https://cyberpress.org/hackers-trick-microsoft-teams/
Pages: