(https://i.imgur.com/6N0iL76.png)
Una reciente campaña de ingeniería social utiliza Microsoft Teams para desplegar el malware DarkGate mediante el engaño a usuarios para instalar AnyDesk, una herramienta de acceso remoto.
Detalles del ataqueSegún investigadores de Trend Micro, los atacantes contactaron a víctimas a través de Microsoft Teams, haciéndose pasar por clientes. Al no lograr instalar aplicaciones de soporte remoto de Microsoft, convencieron a las víctimas para descargar AnyDesk.
Una vez obtenido el acceso remoto, los atacantes implementaron DarkGate junto a otras cargas útiles, como ladrones de credenciales.
Características de DarkGateDarkGate, activo desde 2018 y ahora ofrecido como Malware-as-a-Service (MaaS), posee capacidades como:
- Robo de credenciales.
- Keylogging (registro de teclas).
- Captura de pantalla y audio.
- Acceso remoto a escritorios.
La distribución del malware en este incidente se realizó mediante un script AutoIt, una técnica común en otras campañas detectadas en el último año.
Recomendaciones de seguridadAnte esta amenaza, las organizaciones deben:
- Habilitar la autenticación multifactor (MFA).
- Restringir el uso de herramientas de acceso remoto no autorizadas.
- Bloquear aplicaciones no verificadas.
- Evaluar a proveedores de soporte técnico externos para evitar ataques de vishing.
Contexto: aumento de ataques de phishingEste incidente coincide con un incremento global de campañas de phishing, que incluyen:
- YouTube: Suplantación de marcas populares para engañar a creadores de contenido.
- Quishing: Uso de códigos QR en archivos PDF maliciosos para robar credenciales de Microsoft 365.
- Cloudflare Pages: Creación de sitios falsos con verificaciones CAPTCHA engañosas.
- HTML adjuntos: Distribución de archivos disfrazados de facturas que ejecutan código malicioso.
- Mensajes de WhatsApp: Dirigidos a usuarios en India con aplicaciones bancarias fraudulentas.
Estas campañas también aprovechan eventos globales para registrar dominios maliciosos que imitan sitios oficiales, explotando la urgencia y la confianza del público.
En fin la explotación de Microsoft Teams y AnyDesk para distribuir DarkGate demuestra la sofisticación de las tácticas de los ciberdelincuentes. Es fundamental que las organizaciones adopten medidas preventivas para protegerse de ataques basados en ingeniería social y otros vectores de acceso inicial.
Fuente:https://thehackernews.com