Los piratas informáticos se están volviendo tan sofisticados con el malware que hacen que los enlaces parezcan un aviso sobre las vacaciones de la empresa.
Se ha descubierto una nueva estafa de phishing llamada «DarkGate Loader» dirigida a Microsoft Teams.
Se puede identificar con un mensaje y un enlace que dice “cambios en el calendario de vacaciones”.
Hacer clic en este enlace y acceder a los archivos .ZIP correspondientes puede dejarlo vulnerable al malware adjunto.
El equipo de investigación Truesec ha estado observando DarkGate Loader desde finales de agosto y señala que los piratas informáticos han utilizado un intrincado proceso de descarga que hace que sea difícil identificar el archivo como nefasto.
Los piratas informáticos pudieron utilizar cuentas comprometidas de Office 365 para enviar el mensaje infectado con malware con el enlace «cambios en el calendario de vacaciones» a través de Microsoft Teams.
Truesec encontró las cuentas que fueron tomadas por los piratas informáticos para enviar el malware DarkGate Loader.
Estos incluyen “Akkaravit Tattamanas” (63090101@my.buu.ac.th) y “ABNER DAVID RIVERA ROJAS” (adriverar@unadvirtual.edu.co).
El malware comprende un VBScript infectado escondido dentro de un LNK (un acceso directo de Windows).
El equipo de investigación señala que el ataque es astuto debido a su URL de SharePoint, lo que dificulta que los usuarios se den cuenta de que se trata de un archivo cuestionado.
El tipo de script cURL precompilado de Windows también hace que el código sea más difícil de identificar porque está oculto en el medio del archivo.
El script es capaz de determinar si el usuario tiene instalado el antivirus Sophos.
De lo contrario, el malware puede inyectar código adicional, en un ataque llamado «cadenas apiladas», que abre un código shell que crea un ejecutable DarkGate que se carga en la memoria del sistema, añadió el equipo.
DarkGate Loader no es la única estafa de phishing que ha afectado a Microsoft Teams este verano.
Un grupo de piratas informáticos rusos llamado Midnight Blizzard pudo utilizar un exploit de ingeniería social para atacar aproximadamente 40 organizaciones en agosto.
Los piratas informáticos utilizaron cuentas de Microsoft 365 propiedad de pequeñas empresas que ya habían sido cuestionadas y se hicieron pasar por soporte técnico para ejecutar ataques.
Desde entonces, Microsoft ha abordado el problema, según Windows Central.
El otoño pasado, una tendencia común fueron las campañas de compromiso de correo electrónico empresarial (BEC), que son estafas de phishing en las que un actor nefasto, disfrazado de jefe de la empresa, envía un correo electrónico que parece una cadena de correos electrónicos reenviados, con instrucciones a un empleado para que envíe dinero.
Otro exploit infame fue la vulnerabilidad de día cero de Windows, Follina.
Los investigadores lo descubrieron en la primavera del año pasado y determinaron que permitía a los piratas informáticos acceder a la herramienta de diagnóstico de soporte de Microsoft que se asocia comúnmente con Microsoft Office y Microsoft Word.
