Desde TecnetOne, alertamos sobre una campaña activa en la que ciberdelincuentes están utilizando técnicas de SEO envenenado y anuncios pagados en buscadores para distribuir falsos instaladores de Microsoft Teams. ¿El objetivo? Infectar dispositivos Windows con Oyster, un malware tipo backdoor que otorga a los atacantes acceso remoto y persistente a redes corporativas.
Conocido también como Broomstick o CleanUpLoader, Oyster se detectó por primera vez en 2023 y se ha vinculado desde entonces a múltiples campañas de ataque. Una vez dentro del sistema, permite a los hackers ejecutar comandos, desplegar cargas adicionales, robar datos y moverse lateralmente dentro de una red sin ser detectados.
Este malware se propaga principalmente mediante campañas de publicidad maliciosa (malvertising) que suplantan herramientas populares como PuTTY o WinSCP, y ha sido utilizado incluso por grupos de ransomware como Rhysida para comprometer redes empresariales.
Esta nueva campaña combina publicidad maliciosa y técnicas de SEO engañosas para posicionar un sitio web falso entre los primeros resultados cuando los usuarios buscan términos como “descargar Teams”.
Sitio malicioso de descarga de Microsoft Teams en Bing
Aunque ni los anuncios ni el dominio intentan imitar directamente el sitio oficial de Microsoft, sí redirigen a una página falsa alojada en teams-install[.]top, diseñada para parecerse al sitio de descarga legítimo de Teams. Lo preocupante es que, al hacer clic en el botón de descarga, se baja un archivo llamado "MSTeamsSetup.exe", exactamente el mismo nombre que usa el instalador oficial de Microsoft, lo que puede engañar fácilmente a los usuarios menos atentos.
Sitio falso de Microsoft Teams que impulsa el instalador de malware Oyster
Podría interesarte leer: ModStealer: Así te Engaña para Entrar en tu Mac
El archivo malicioso MSTeamsSetup.exe (detectado en VirusTotal) viene firmado digitalmente con certificados válidos de empresas como “4th State Oy” y “NRM NETWORK RISK MANAGEMENT INC”. Esto se hace con la intención de darle una apariencia legítima al archivo y evitar levantar sospechas, tanto en los usuarios como en algunas soluciones de seguridad.
Pero una vez que se ejecuta, el supuesto instalador deja caer un archivo llamado CaptureService.dll (también detectado en VirusTotal) dentro de la carpeta %APPDATA%\Roaming, una ubicación comúnmente usada por los atacantes para esconder componentes maliciosos sin levantar alertas.
Para asegurarse de que este código malicioso se siga ejecutando, el instalador crea una tarea programada llamada “CaptureService”, que lanza el archivo DLL cada 11 minutos, incluso después de reiniciar el equipo. En resumen: deja una puerta trasera activa y persistente.
Esta técnica no es nueva. Ya se ha visto en otros instaladores falsos de Google Chrome y Microsoft Teams, todos relacionados con el malware Oyster, lo que confirma que el envenenamiento de SEO y los anuncios maliciosos siguen siendo tácticas muy efectivas para comprometer redes empresariales.
En campañas similares, como las que usaron versiones falsas de PuTTY, los atacantes se aprovechan de la confianza del usuario en marcas conocidas y en los primeros resultados de búsqueda. El patrón se repite: el objetivo es conseguir acceso inicial a los sistemas, especialmente en entornos corporativos.
Y ojo con esto: los administradores de TI son un objetivo prioritario para los ciberdelincuentes, ya que suelen tener acceso a credenciales con altos privilegios dentro de las organizaciones. Desde TecnetOne, recomendamos seguir estas buenas prácticas para minimizar el riesgo de infección por instaladores falsos y malware distribuido mediante malvertising:
Más allá de las herramientas y controles técnicos, las personas siguen siendo el eslabón más crítico en la seguridad de cualquier organización. Invertir en concientización y formación continua es una medida necesaria para que los equipos puedan reconocer amenazas como estas campañas de malvertising y actuar a tiempo. En TecnetOne, insistimos en que la prevención empieza por saber en qué confiar… y en qué no.