Una nueva campaña de ingeniería social está usando Microsoft Teams como puerta de entrada para instalar un malware conocido como DarkGate. Según investigadores de Trend Micro, el atacante se hizo pasar por un cliente durante una llamada de Teams para convencer a la víctima de darle acceso remoto a su sistema.
Aunque no pudo instalar una aplicación de soporte remoto de Microsoft, sí logró que la víctima descargara AnyDesk, una herramienta bastante popular para acceso remoto.
De acuerdo con un informe reciente de la empresa de ciberseguridad Rapid7, el ataque comenzó con un bombardeo de miles de correos electrónicos a la bandeja de entrada de la víctima. Después de eso, los atacantes hicieron contacto por Microsoft Teams, haciéndose pasar por empleados de un proveedor externo.
Una vez que lograron que la víctima instalara AnyDesk, aprovecharon ese acceso remoto para entregar varias cargas maliciosas, como un ladrón de credenciales y el malware DarkGate.
DarkGate lleva rondando desde 2018 y es lo que se conoce como un troyano de acceso remoto (RAT), aunque a lo largo de los años ha evolucionado hasta convertirse en un malware como servicio (MaaS) con una clientela muy exclusiva y controlada. Sus capacidades son bastante preocupantes: puede robar credenciales, registrar todo lo que escribes en el teclado (keylogging), tomar capturas de pantalla, grabar audio e incluso controlar el escritorio de la víctima de forma remota.
Según análisis recientes de campañas de DarkGate, el malware suele distribuirse usando dos métodos principales: scripts AutoIt y AutoHotKey. En esta reciente campaña de ingeniería social, los atacantes utilizaron un script AutoIt para desplegar el malware.
Por suerte, el ataque fue bloqueado antes de que los ciberdelincuentes lograran extraer datos, pero este caso deja algo muy claro: los atacantes están probando cada vez más rutas para infiltrarse en sistemas y propagar malware.
Si quieres mantener a tu organización a salvo de este tipo de ataques, aquí van algunas recomendaciones clave:
Cadena de Ataque (Fuente: Trend Micro)
Conoce más sobre: Vishing: ¿Qué es y cómo protegerte de este tipo de estafa?
En los últimos meses, los ataques de phishing han explotado como nunca antes, utilizando todo tipo de trucos y señuelos para engañar a las víctimas y robar información. Desde correos electrónicos que parecen inofensivos hasta campañas que se aprovechan de eventos globales, los ciberdelincuentes están afinando sus estrategias para que cada vez sea más difícil detectar sus trampas. Aquí te contamos algunas de las tácticas más usadas:
Estafas a creadores de YouTube: Los atacantes se hacen pasar por marcas conocidas y contactan a los creadores por correo electrónico. Les ofrecen supuestas promociones o colaboraciones de marketing, pidiéndoles que hagan clic en un enlace para “firmar un acuerdo”. Al final, esto lleva a la instalación del malware Lumma Stealer, y todo comienza porque los ciberdelincuentes extraen las direcciones de los canales mediante un analizador.
Correos con códigos QR maliciosos: Aquí los atacantes envían un archivo PDF con un código QR que, al escanearlo, redirige a la víctima a una página falsa de inicio de sesión de Microsoft 365. El objetivo: robar credenciales de usuario.
Sitios falsos usando Cloudflare: Se aprovechan de la confianza que generan plataformas como Cloudflare Pages y Workers para crear sitios que parecen oficiales. Estos sitios pueden imitar páginas de inicio de sesión de Microsoft 365 o mostrar captcha falsos para ganarse tu confianza y engañarte para que descargues algo o ingreses datos personales.
Adjuntos HTML disfrazados de documentos: Los atacantes envían correos electrónicos con archivos HTML que parecen ser facturas o políticas de recursos humanos. Sin embargo, estos archivos contienen código JavaScript malicioso que redirige a sitios de phishing o ejecuta comandos bajo la apariencia de “arreglar un error” (conocido como ClickFix).
Uso de plataformas confiables: Plataformas como DocuSign, Adobe InDesign y Google AMP también son utilizadas en campañas de phishing. Los atacantes envían enlaces disfrazados que parecen venir de estas plataformas, pero en realidad llevan a sitios maliciosos diseñados para robar credenciales.
Suplantación de soporte técnico: Algunas campañas se hacen pasar por equipos de soporte de Okta u otras plataformas corporativas, solicitando credenciales o acciones urgentes que abren la puerta a violaciones de seguridad en la organización.
Ataques dirigidos a usuarios de WhatsApp: En la India, se han detectado mensajes de phishing enviados a través de WhatsApp, donde se pide a las víctimas que instalen una supuesta app bancaria o de utilidades en sus dispositivos Android. Estas aplicaciones resultan ser malware diseñado para robar información financiera.
Podría interesarte leer: Hackers Abusan de la API de DocuSign para Enviar Facturas Falsas
Las tácticas de phishing y los métodos de ataque están evolucionando a un ritmo alarmante. Los ciberdelincuentes son cada vez más creativos para aprovechar herramientas cotidianas y la falta de atención, lo que hace que cualquier empresa sea un blanco potencial. Por esta razón, contar con soluciones de ciberseguridad robustas y completas no es una opción, es una necesidad.
Plataformas como TecnetProtect son clave para proteger a las organizaciones. Esta solución integral de ciberseguridad y backup no solo ofrece características avanzadas de protección de email, bloqueando correos maliciosos y previniendo ataques de phishing, sino que también asegura los datos críticos de la empresa, garantizando que siempre estén protegidos y respaldados.
Pero la tecnología por sí sola no basta. La concientización del equipo es igual de importante. Capacitar a los trabajadores para que puedan reconocer correos sospechosos, enlaces fraudulentos y otras señales de phishing es esencial para evitar que un simple clic se convierta en una brecha de seguridad.