Image by fptsmartcloud, from Pxhere
Los Hackers se Aprovechan de Microsoft Teams para Desplegar Malware
Tiempo de lectura: 3 min.
Publicado el Dic 19, 2024
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Un reciente fallo de ciberseguridad reveló cómo un ataque de ingeniería social, utilizando el phishing de voz (vishing) a través de Microsoft Teams, permitió a un actor malintencionado desplegar el malware DarkGate en el sistema de una víctima.
¿Con prisa? ¡Aquí están los datos rápidos!
- El phishing por voz a través de Microsoft Teams condujo a la implementación del malware DarkGate.
- La víctima fue convencida para descargar AnyDesk después de una fallida instalación del Soporte Remoto de Microsoft.
- El atacante obtuvo acceso al sistema al convencer a la víctima de ingresar sus credenciales.
El ataque, analizado por el Equipo de Detección y Respuesta Gestionada de Trend Micro (MDR por sus siglas en inglés), resalta la naturaleza evolutiva de las amenazas cibernéticas y la necesidad crítica de estrategias de defensa robustas. El ataque comenzó cuando la víctima recibió varios miles de correos electrónicos antes de que un atacante que se hacía pasar por un representante del cliente llamara a través de Microsoft Teams.
La impostora instruyó a la víctima para que descargara la aplicación de Soporte Remoto de Microsoft, pero después de que este intento de instalación fracasara, el atacante logró convencer con éxito a la víctima para que descargara AnyDesk, una herramienta legítima de escritorio remoto.
Luego, la atacante guió a la víctima para que ingresara sus credenciales, otorgando acceso no autorizado al sistema.
Una vez dentro del sistema, el atacante depositó múltiples archivos sospechosos, uno de los cuales se identificó como Trojan.AutoIt.DARKGATE.D, iniciando una serie de comandos. Esto condujo a la conexión con un posible servidor de comando y control (C&C), permitiendo al atacante ejecutar más acciones maliciosas.
Aunque el ataque se detuvo antes de que ocurriera ninguna exfiltración de datos, subrayó varias vulnerabilidades en la gestión de acceso remoto y en las tácticas de ingeniería social.
El atacante utilizó scripts de AutoIt para obtener el control remoto de la máquina de la víctima, ejecutando comandos para recopilar información del sistema y establecer una presencia más persistente.
Es notable que el proceso AutoIt3.exe ejecutó una serie de comandos que descargaron malware adicional, incluyendo scripts que intentaron conectarse a IPs externas. El malware fue diseñado para evitar la detección buscando productos antivirus y creando múltiples archivos aleatorios para ocultar su presencia.
El objetivo final del ataque parecía ser la instalación de una carga útil final de DarkGate. Esta carga útil habría permitido al atacante controlar el sistema de la víctima y potencialmente exfiltrar datos sensibles. Sin embargo, el ataque fue detectado a tiempo, evitando que el atacante lograra su objetivo.
Para defenderse contra estos ataques, los expertos recomiendan que las organizaciones evalúen cuidadosamente a los proveedores de soporte técnico de terceros. Las herramientas de acceso remoto, como AnyDesk, deben ser incluidas en la lista blanca y monitoreadas, con autenticación de múltiples factores (MFA) habilitada para prevenir el acceso no autorizado.
Además, los empleados deberían recibir formación regular para reconocer tácticas de ingeniería social y intentos de phishing, que siguen siendo un vector clave para los ciberataques.
Artículos más recientes 
Dejar un comentario
Cancelar