Los investigadores de seguridad han descubierto una nueva ola de ataques de phishing que abusan de los equipos de Microsoft para entregar malware. Las campañas, observadas por Permiso, utilizan cuentas falsas de soporte de TI para engañar a los empleados en la instalación de software de acceso remoto, brindando a los atacantes control directo sobre los sistemas corporativos. Los equipos de Microsoft emergen como un phishing objetivo de alto valor por correo electrónico sigue siendo el método más común para obtener acceso, pero los atacantes están recurriendo cada vez más a las plataformas utilizadas para la colaboración diaria. Desde su lanzamiento de 2017, Microsoft Teams se ha integrado profundamente en la comunicación empresarial, por lo que es un objetivo atractivo. Permiso dijo que las recientes campañas muestran a los atacantes creando cuentas de equipos que se hacen pasar por el personal de apoyo con nombres como «Soporte de TI», «mesa de ayuda» o alias basados ​​en el departamento. Algunas cuentas incluso cuentan con la marca de verificación emojis para aparecer verificados. A pesar de su simplicidad, estas tácticas de suplantación a menudo tienen éxito, ya que los empleados con frecuencia asumen que la comunicación en los equipos es legítima. Lea más sobre los ataques de phishing: los ataques de phishing móviles aumentan con el 16% de los incidentes en EE. UU. Cómo los ataques desarrollan el objetivo de los atacantes en estos ataques es establecer el control de la máquina de una víctima. Después de iniciar el contacto, presionan a los empleados a descargar herramientas de acceso remoto como QuickAssist o Anydesk. Una vez instalados, estos programas permiten al actor de amenaza tomar el control total del sistema, implementar malware para robar credenciales y establecer la persistencia para mantener el acceso a largo plazo. Las versiones anteriores de esta técnica, vistas en mayo de 2024, estaban vinculadas a las operaciones de ransomware de Blackbasta. Sin embargo, los incidentes más nuevos se han relacionado con diferentes cepas, incluidos Darkgate y el cargador Matanbuchus. En un caso, un script de PowerShell descargado de un dominio malicioso demostró capacidades para persistencia, robo de credenciales y comunicación cifrada con servidores controlados por los atacantes. El grupo detrás de las campañas Permiso investigadores ha atribuido la actividad a un actor motivado financieramente conocido como CiCryPTHUB (también conocido como Larva-208 o Water Gamayun). Este grupo ha combinado previamente la ingeniería social con hazañas de día cero y malware personalizado. Sus operaciones pasadas se dirigieron a personal de TI de habla inglesa, desarrolladores y profesionales de Web3. «La reutilización de las constantes criptográficas estáticas en todas las campañas es una debilidad operativa notable, una que permite a los defensores pivotar en repositorios de malware y rastrear las herramientas de este grupo con el tiempo», explicó Permiso. Al aprovechar los equipos de Microsoft, los atacantes están pasando por alto las defensas de correo electrónico tradicionales e integrando sus operaciones dentro de los flujos de trabajo corporativos confiables. Se insta a los equipos de seguridad a monitorear la actividad de los equipos inusuales, especialmente las comunicaciones externas que podrían ocultar los intentos de ingeniería social. Crédito de la imagen: Daniel Constante / Shutterstock.com