En el dinámico mundo de la ciberseguridad, una nueva amenaza ha surgido, poniendo en riesgo a los usuarios de uno de los servicios de comunicación más populares: Microsoft Teams. Recientemente, se ha reportado un sofisticado ataque de phishing que utiliza Teams para distribuir un peligroso malware conocido como DarkGate.
DarkGate es un tipo de malware, un software malicioso diseñado para infiltrarse o dañar un sistema informático sin el consentimiento del usuario. Lo que lo hace particularmente peligroso es su capacidad de evitar la detección y realizar una variedad de acciones maliciosas, incluyendo el robo de datos y la instalación de otros tipos de malware.
Conoce más sobre: Resurrección de DarkGate y PikaBot: Una Alerta en el Mundo del Malware
Los recientes ataques de phishing están explotando las solicitudes de chat grupal en Microsoft Teams para distribuir archivos adjuntos maliciosos. Estos archivos instalan el malware DarkGate en los sistemas de las víctimas. Los atacantes, utilizando un usuario o dominio de Teams aparentemente comprometido, han enviado más de 1,000 invitaciones malintencionadas a chats grupales en Teams.
Tras aceptar las solicitudes de chat, los usuarios son engañados para descargar un archivo con una extensión doble engañosa, como 'Navegando cambios futuros de octubre de 2023.pdf.msi', una táctica característica de DarkGate. Una vez instalado, el malware se conecta a su servidor de comando y control en hgfdytrywq[.]com, un sitio identificado como parte de la infraestructura de DarkGate.
Este tipo de ataque de phishing se ha hecho posible debido a la configuración predeterminada de Microsoft Teams, que permite a los usuarios externos enviar mensajes a otros inquilinos. Los expertos en seguridad aconsejan que, a menos que sea esencial para las operaciones comerciales diarias, desactivar el acceso externo en Microsoft Teams puede ser una medida de seguridad prudente, ya que el correo electrónico suele ser un canal más seguro y monitoreado.
Además, es crucial capacitar a los usuarios finales para que estén atentos a los mensajes no solicitados y entender que el phishing puede presentarse de múltiples formas, no solo a través del correo electrónico tradicional.
Te podrá interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Con un enorme número de usuarios mensuales, Microsoft Teams se ha convertido en un blanco atractivo para los actores de amenazas. Los operadores de DarkGate están explotando esto, introduciendo su malware en Teams, dirigido a organizaciones donde no se ha deshabilitado la función de Acceso Externo.
En el pasado, se han observado campañas similares que promovían el malware DarkGate a través de cuentas comprometidas de Office 365 y Skype, utilizando archivos adjuntos de secuencias de comandos del cargador VBA.
Herramientas como TeamsPhisher, que explotan vulnerabilidades en Microsoft Teams, han sido utilizadas por corredores de acceso inicial para llevar a cabo ataques de phishing y penetrar en redes corporativas. Estas herramientas permiten a los atacantes enviar cargas maliciosas, sortear las protecciones del lado del cliente que deberían bloquear archivos de cuentas externas.
Grupos como APT29, asociados con la inteligencia rusa, han utilizado esta vulnerabilidad en Teams para atacar organizaciones globales, incluyendo agencias gubernamentales.
Conoce más sobre: Microsoft Teams: Manteniendo Conversaciones a Distancia
Tras la desmantelación de la botnet Qakbot en agosto, gracias a un esfuerzo de colaboración internacional, los ciberdelincuentes han empezado a preferir el uso del cargador de malware DarkGate como su principal método de acceso a las redes corporativas.
Antes de la desactivación de la botnet Qakbot, una persona que se presentaba como el desarrollador de DarkGate intentó comercializar suscripciones anuales del malware por un valor de 100,000 dólares en un foro de hackers.
El creador de DarkGate destacó que su malware posee múltiples funcionalidades, incluyendo un VNC (Virtual Network Computing) oculto, herramientas para burlar Windows Defender, un módulo para el robo de historiales de navegadores, un proxy inverso, un gestor de archivos y una herramienta para robar tokens de Discord.
Desde ese anuncio, se ha observado un incremento significativo en los reportes de infecciones por DarkGate. Los ciberdelincuentes están utilizando diversas técnicas para distribuir el malware, entre ellas ataques de phishing y publicidad maliciosa.
Te podrá interesar leer: ¿Qué es un SOC como Servicio?
Este reciente ataque de phishing en Microsoft Teams subraya la necesidad continua de estar alerta y tomar medidas proactivas para protegerse contra las amenazas de ciberseguridad. A medida que los ciberdelincuentes se vuelven más sofisticados en sus métodos, la concienciación y la educación en ciberseguridad se vuelven aún más cruciales. Tanto usuarios individuales como organizaciones deben comprometerse a mantener prácticas de seguridad sólidas para defenderse contra estos ataques cada vez más comunes y peligrosos.