El malware que atacó a Teams, ejecutaba actividades maliciosas como: acceso remoto, minería de criptomonedas, shell inverso, registro de teclas, robo de portapapeles y robo de información como archivos y datos del navegador. ¡Descubra los detalles en este blog!
Si llega a recibir un mensaje en Microsoft Teams que le anuncia: “Cambios en el calendario de vacaciones”, elimínelo y ni siquiera lo abra. Se trata de un malware que empezó a circular a mitad de este año y que enviaba mensajes de phishing por Teams.
Antes de contarle cómo funciona este malware que atacó a Microsoft Teams, debe saber que Latinoamérica experimentó un aumento del 617 % y un 50 % en intentos de ataques de phishing y troyanos bancarios, entre julio del 2022 y junio del 2023 según datos recopilados en un informe de Kaspersky.
El mismo informe registró que se logró bloquear 286 millones de intentos de phishing, en el mismo rango de tiempo. Esto representó un aumento del “617% y un promedio de 544 ataques por minuto”.
Además, 4 de cada 10 intentos de phishing se dirigieron a los datos financieros, entre un “42,8% – 28,40% en temas bancarios, 9,40% a medios de pago, 2,70% a servicios financieros y 2,30% a criptomonedas. Las empresas que prestan servicios de Internet (14,70%) y las tiendas en línea (14,70%) completan el ranking”, dice el informe.
Por esta razón, estar al tanto de los malware como el que atacó a Teams es esencial, sobre todo para las compañías que a diario son objeto de ataques. En este blog de ManageEngine le contaré cómo operaba este ataque.
¿Cómo funcionaba el malware que atacó a Microsoft Teams?
A través de cuentas externas de Office 365, que al parecer estaban comprometidas, se empezó a enviar un mensaje, que hablaba sobre un tema común para cualquier empresa: los cambios en las vacaciones para el personal.
De esta manera se buscaba engañar a los usuarios de varias organizaciones en Teams y persuadirlos de abrir y hacer clic en un documento, de acuerdo con Bleeping compueter.
Se trataba de un archivo adjunto en ZIP. Según datos de publicados por los investigadores de Truesec, cuando se hacía clic en ese archivo se activaba su descarga desde una URL de SharePoint con un archivo LNK disfrazado de un PDF.
¿Qué es un archivo LNK y cómo lo usaron en el phishing a Teams?
Resulta que los archivos LNK son muy comunes. Ya que los archivos LNK son accesos directos de Windows que sirven para abrir un documento, carpeta o aplicación. De acuerdo con McAfee, están basados en el formato de archivo binario Shell Link.
Dichos archivos Shell Link contienen información que se usa para acceder a otro objeto de datos. Se crean de manera manual a través de la opción estándar de creación de accesos directos, al hacer clic con el botón derecho de mouse.
En el caso del phishing a Teams, el archivo contenía un VBScript malicioso con una cadena de infección que conducía a una carga de DarkGate Loader. Como método para evadir la detección del malware, el proceso de descarga usaba Windows cURL con el fin de recuperar los archivos ejecutables de script del malware.
Windows cURL es la abreviatura de Cliente for URL o Curl Request Library y hace referencia a un programa que permite la transferencia de datos entre ordenadores interconectados.
Pero, la sofisticación de este malware no termina allí. El script que se descarga con el cURL oculta un código malicioso en medio del archivo que contiene “bytes mágicos” que se pueden distinguir y que están ligados a scripts de AutoIT.
Este script además es capaz de comprobar si Sophos, un antivirus, está instalado. Si no lo está, inicia el shellcode, que es un conjunto de órdenes que ejecutan tareas maliciosas.
En este caso, lo hace para construir el ejecutable DarkGate de Windows y cargarlo en la memoria.
¿Qué medidas tomó Microsoft frente a este malware?
Un phishing como este ya se había reportado en junio del 2023, en un informe de Jumpsec. El mecanismo era igual, enviaban mensajes maliciosos a otras organizaciones a través de phishing e ingeniería social.
Microsoft, en este caso y el anterior, simplemente recomendó a los administradores aplicar configuraciones seguras, como las listas de permitidos de alcance limitado, para deshabilitar el acceso externo si no era necesaria la comunicación con externos.
¿Qué es DarkGate?
Es un malware muy potente que permite la realización de diversas actividades maliciosas como hVNC (Hidden Virtual Network Computing) para acceso remoto, minería de criptomonedas, shell inverso, registro de teclas, robo de portapapeles y robo de información como archivos y datos del navegador.
Se trata de un malware cuya focalización y adopción sigue creciendo desde que empezó a circular en el 2017, “es una amenaza emergente que debe ser monitoreada muy de cerca”, según Blepingcomputer.
