(https://i.imgur.com/eKSh9Xz.jpeg)
Los ataques de ingeniería social continúan evolucionando y aprovechando las herramientas de colaboración más utilizadas por las empresas. Una nueva campaña descubierta por investigadores de seguridad revela que ciberdelincuentes están utilizando llamadas de voz de Microsoft Teams para hacerse pasar por personal del departamento de soporte informático con el objetivo de instalar el malware EtherRAT en equipos corporativos.
La investigación, realizada por Unit 42 de Palo Alto Networks, demuestra cómo los atacantes combinan phishing por correo electrónico, vishing (phishing por voz), herramientas legítimas de acceso remoto y un sofisticado malware basado en Node.js para obtener acceso inicial a redes empresariales y comprometer información sensible.
Este nuevo método confirma una tendencia preocupante: los actores de amenazas ya no dependen únicamente de correos electrónicos maliciosos, sino que explotan la confianza de los empleados mediante comunicaciones aparentemente legítimas realizadas a través de plataformas ampliamente utilizadas como Microsoft Teams.
Así comienza el ataque con Microsoft TeamsDe acuerdo con el informe publicado por Unit 42, la cadena de infección inicia con un correo electrónico de phishing cuidadosamente elaborado.
El mensaje contiene un supuesto documento relacionado con una "Encuesta para empleados", acompañado por un archivo PDF malicioso diseñado para despertar la curiosidad de la víctima.
Pocos minutos después de que el usuario abra el documento, recibe una llamada de voz desde Microsoft Teams proveniente de una cuenta externa que aparenta pertenecer al departamento de soporte técnico de la empresa.
Durante la llamada, el atacante se presenta como un Administrador del Sistema y comunica a la víctima que existe un problema relacionado con su equipo o con el documento recientemente abierto.
Esta combinación de correo electrónico y llamada telefónica incrementa significativamente la credibilidad del engaño y reduce las probabilidades de que el usuario sospeche de la estafa.
Los atacantes utilizan cuentas externas para parecer soporte legítimoLos investigadores observaron que la sesión de Teams mostraba el identificador "Externo desconocido", indicando que la llamada procedía de un tenant diferente de Microsoft 365.
Los registros de auditoría permitieron identificar que los atacantes utilizaron la cuenta:
[email protected][.]comLa identidad fue utilizada para hacerse pasar por personal de soporte técnico corporativo, una táctica cada vez más frecuente en campañas de vishing dirigidas contra organizaciones empresariales.
Una vez establecida la conversación, el supuesto técnico solicita permiso para compartir pantalla o tomar control remoto del equipo con el argumento de solucionar un problema urgente.
Herramientas legítimas utilizadas para comprometer los equiposUna de las características más peligrosas de esta campaña es el uso de software completamente legítimo.
Después de convencer a la víctima, los atacantes solicitan instalar aplicaciones ampliamente conocidas para acceso remoto, entre ellas:
Al tratarse de programas utilizados por departamentos de TI en numerosas organizaciones, muchos empleados no perciben ninguna actividad sospechosa.
Una vez establecida la sesión remota, los atacantes descargan un archivo MSI denominado v7.msi desde un dominio controlado por ellos.
Aunque aparenta ser un instalador normal, en realidad funciona como un cargador de malware.
El instalador descarga Node.js para ejecutar EtherRATEl archivo MSI no instala directamente el malware.
En cambio, descarga una versión legítima del entorno de ejecución Node.js, la cual posteriormente utiliza para ejecutar código malicioso oculto dentro del propio instalador.
El proceso consiste en varias etapas:
- Descarga el runtime legítimo de Node.js.
- Descifra varias cargas útiles embebidas.
- Ejecuta automáticamente el malware EtherRAT.
- Establece persistencia en el sistema comprometido.
Este enfoque permite ocultar mejor la actividad maliciosa y reducir las probabilidades de ser detectado por soluciones antivirus tradicionales.
¿Qué es EtherRAT?EtherRAT es un troyano de acceso remoto (RAT) desarrollado sobre Node.js, diseñado para funcionar en múltiples plataformas.
Una vez instalado, proporciona a los atacantes control prácticamente total del sistema infectado.
Entre sus principales capacidades destacan:
- Ejecución remota de comandos.
- Robo de archivos y documentos.
- Manipulación completa del sistema de archivos.
- Descarga y ejecución de malware adicional.
- Robo de credenciales.
- Persistencia tras reinicios.
- Control remoto continuo del dispositivo.
Este tipo de malware permite convertir un único equipo comprometido en el punto de entrada para atacar toda una infraestructura empresarial.
EtherRAT utiliza la blockchain de Ethereum para ocultar su infraestructura
Uno de los aspectos técnicamente más sofisticados de EtherRAT es la forma en que localiza su servidor de Comando y Control (C2).
En lugar de utilizar servidores estáticos o dominios tradicionales, el malware consulta contratos inteligentes en la blockchain de Ethereum para recuperar dinámicamente la dirección del servidor C2 activo.
Esta técnica ofrece múltiples ventajas para los atacantes:
- Hace mucho más difícil bloquear la infraestructura.
- Evita listas negras tradicionales.
- Permite cambiar rápidamente los servidores activos.
- Aumenta la resiliencia de la campaña.
El uso de tecnologías descentralizadas como Ethereum representa una tendencia creciente dentro del desarrollo de malware avanzado.
Una amenaza conocida que continúa evolucionandoLos investigadores recuerdan que EtherRAT no es un malware nuevo.
Anteriormente fue utilizado en campañas atribuidas a actores patrocinados por estados que explotaban la vulnerabilidad conocida como React2Shell.
Sin embargo, con el paso del tiempo el código ha sido adoptado por numerosos grupos criminales, quienes lo han modificado para adaptarlo a campañas de acceso inicial contra organizaciones de distintos sectores.
Además, durante la investigación, Unit 42 descubrió un servidor de distribución mal configurado con un directorio abierto que contenía múltiples versiones del instalador malicioso, desde v1 hasta v9, lo que demuestra que el malware continúa evolucionando activamente.
Microsoft Teams se convierte en un objetivo cada vez más atractivoEsta campaña no representa un caso aislado.
Durante los últimos meses se ha observado un incremento constante de ataques que utilizan Microsoft Teams como canal principal de ingeniería social.
En marzo, otra campaña afectó a organizaciones de los sectores financiero y sanitario mediante una combinación de spam masivo y llamadas realizadas desde Teams por supuestos técnicos de soporte.
En aquella ocasión, las víctimas fueron convencidas de utilizar Quick Assist, lo que permitió desplegar el malware A0Backdoor tras obtener acceso remoto a los dispositivos.
Posteriormente, Microsoft alertó públicamente sobre el incremento de ataques donde ciberdelincuentes utilizan cuentas externas de Teams para hacerse pasar por personal de soporte técnico, obtener acceso a los equipos, desplazarse lateralmente dentro de la red corporativa y finalmente exfiltrar información confidencial.
Microsoft refuerza la seguridad de TeamsAnte el aumento de este tipo de amenazas, Microsoft ha incorporado nuevas funciones de protección dentro de Teams para reducir el riesgo de ataques de phishing y vishing.
Entre las mejoras más relevantes se encuentran:
- Advertencias visibles que identifican llamadas y chats provenientes de organizaciones externas.
- Indicadores adicionales para alertar sobre posibles intentos de suplantación de identidad.
- Nuevas políticas administrativas que colocan automáticamente en la sala de espera a bots sospechosos de terceros hasta que un organizador apruebe manualmente su acceso.
Estas medidas buscan reducir la eficacia de las campañas de ingeniería social, aunque los especialistas coinciden en que la mejor defensa sigue siendo la capacitación continua de los empleados.
Cómo proteger a una organización frente a este tipo de ataquesLa sofisticación de esta campaña demuestra que la tecnología por sí sola no basta para detener las amenazas actuales. Las organizaciones deben combinar controles técnicos con formación constante para minimizar el riesgo.
Entre las principales recomendaciones de seguridad destacan:
- Restringir las llamadas y chats provenientes de cuentas externas cuando no sean necesarios.
- Capacitar a los empleados para identificar intentos de phishing y vishing.
- Evitar conceder acceso remoto sin verificar previamente la identidad del solicitante.
- Supervisar la instalación de herramientas como AnyDesk o HopToDesk.
- Implementar autenticación multifactor (MFA) en todos los servicios corporativos.
- Monitorizar conexiones remotas inusuales y actividades sospechosas dentro de la red.
- Mantener actualizadas las soluciones de detección y respuesta ante amenazas (EDR/XDR).
En fin...La nueva campaña que distribuye EtherRAT mediante llamadas falsas de Microsoft Teams confirma que los ciberdelincuentes están perfeccionando sus tácticas de ingeniería social para explotar la confianza de los usuarios. Al combinar correos de phishing, llamadas de voz convincentes, herramientas legítimas de acceso remoto y un malware avanzado basado en Node.js, los atacantes logran comprometer redes corporativas con un alto índice de éxito.
A medida que plataformas de colaboración como Microsoft Teams se consolidan como herramientas esenciales para el trabajo remoto, también se convierten en objetivos prioritarios para los actores maliciosos. Por ello, reforzar la concienciación de los empleados, aplicar políticas de seguridad estrictas y monitorizar de forma continua las actividades sospechosas será fundamental para impedir que amenazas como EtherRAT consigan infiltrarse en las infraestructuras empresariales.
Fuente: https://www.bleepingcomputer.com/