Alerta de Phishing en Microsoft Teams
- OSIPTEL
- 16 octubre 2023
Una nueva campaña de phishing está abusando de los mensajes de Microsoft Teams para enviar archivos adjuntos maliciosos que instalan el malware DarkGate Loader. Esta campaña comenzó a finales de agosto de 2023, cuando se detectó que dos cuentas externas comprometidas de Office 365 enviaban mensajes de phishing de Microsoft Teams a otras organizaciones.
Estas cuentas se utilizaron para engañar a otros usuarios de Microsoft Teams, persuadiéndolos para que descargaran y abrieran un archivo ZIP llamado «Cambios en el calendario de vacaciones».
Phishing en equipos de Microsoft
Al hacer clic, se activa la descarga del archivo ZIP desde una URL de SharePoint que contiene un archivo LNK disfrazado de documento PDF. Los investigadores de Truesec analizaron la campaña de phishing de Microsoft Teams y descubrieron que contiene VBScript malicioso que desencadena la cadena de infección que conduce a una carga útil identificada como DarkGate Loader. Con el fin de evadir la detección, el proceso de descarga utiliza Windows cURL para recuperar los archivos ejecutables y de script del malware.
El código shell utiliza una técnica llamada «stacked strings» para construir el ejecutable DarkGate de Windows y cargarlo en la memoria. Como medida preventiva, Microsoft recomienda a los administradores aplicar configuraciones seguras, como listas de permitidos de alcance limitado, y deshabilitar el acceso externo si no es necesaria la comunicación con inquilinos externos.
Malware DarkGate
El malware DarkGate ha estado circulando desde 2017 y ha sido utilizado en forma limitada por un pequeño círculo de ciberdelincuentes que lo han dirigido a objetivos muy específicos. DarkGate es un potente malware que admite una amplia gama de actividades maliciosas, como hVNC para acceso remoto, minería de criptomonedas, shell inverso, registro de teclas, robo de portapapeles y robo de información, incluyendo archivos y datos del navegador.
Aunque DarkGate aún no representa una amenaza generalizada, su creciente enfoque y adopción de múltiples vías de infección lo convierten en una amenaza emergente que debemos monitorear de cerca.
Fuente: https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-attack-pushes-darkgate-malware/
Deja una respuesta