Llamadas falsas de soporte técnico engañan a usuarios de Microsoft Teams

Iniciado por AXCESS, Marzo 03, 2025, 06:44:41 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 03, 2025, 06:44:41 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de Trend Micro advierten sobre una nueva estafa en la que los cibercriminales se hacen pasar por personal de soporte técnico para obtener acceso a las computadoras de las víctimas. Pero no se trata de otro esquema de correo electrónico no deseado; los atacantes inundan las bandejas de entrada e incluso se comunican a través de Microsoft Teams para engañar a las personas para que les dejen entrar. Una vez dentro, implementan ransomware de grupos como Black Basta y Cactus.

Así es como funciona:

Las víctimas primero son bombardeadas con una avalancha de correos electrónicos. Poco después, alguien que dice ser del departamento de TI se comunica con ellas a través de Microsoft Teams o incluso una llamada telefónica. Este "ayudante" convence al usuario para que le conceda acceso remoto a su computadora, a menudo utilizando un programa legítimo llamado Quick Assist, que está integrado en Windows para permitir el soporte técnico remoto.

Una vez dentro, el estafador descarga archivos que parecen inofensivos al principio, pero se combinan y descomprimen en secreto para instalar una puerta trasera llamada BackConnect. Oculta en OneDrive, esta puerta trasera les da a los atacantes control total sobre el sistema infectado.

Según el informe técnico de Trend Micro, los incidentes recientes analizados por la empresa muestran una fuerte conexión entre este malware BackConnect y el notorio grupo de ransomware Black Basta, que supuestamente ganó más de 100 millones de dólares gracias a las víctimas en 2023. Incluso hay evidencia que sugiere que algunos miembros de Black Basta se han pasado a otra banda de ransomware llamada Cactus, ya que los métodos utilizados en los recientes ataques de Cactus son sorprendentemente similares.

Estos ataques han sido particularmente activos desde octubre de 2024, afectando principalmente a organizaciones en América del Norte, siendo Estados Unidos el que más ha sufrido. El sector manufacturero, seguido de las finanzas, la consultoría de inversiones y el sector inmobiliario, han sido objetivos frecuentes de Black Basta.



En algunos casos, después de establecer su puerta trasera, se ha visto a los atacantes utilizar métodos más avanzados para propagarse a través de una red, incluso apuntando a sistemas especializados como hosts ESXi utilizados para ejecutar máquinas virtuales. Utilizan herramientas como WinSCP para mover archivos y se les ha descubierto preparándose para cifrar archivos antes de ser detenidos. Los chats internos filtrados de Black Basta revelan que el grupo ve las herramientas de seguridad como Trend Micro como un obstáculo importante, lo que demuestra que están tratando activamente de encontrar formas de sortearlas.

Lo que hace que estos ataques sean efectivos no es necesariamente la complejidad del software utilizado, sino la forma en que los atacantes manipulan a las personas. Al mezclar la ingeniería social con el abuso de software genuino y servicios en la nube, hacen que sus acciones maliciosas parezcan una actividad informática normal. Esto pone de relieve que la ciberseguridad no se trata solo de tener el software adecuado, sino también de estar al tanto de cómo los delincuentes intentan engañar a las personas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario