Actualizaciones falsas de Microsoft Teams conducen a la implementación de Cobalt Strike

Los operadores de ransomware están utilizando anuncios falsos maliciosos para las actualizaciones de Microsoft Teams, con el fin de infectar sistemas con puertas traseras que implementaron Cobalt Strike para comprometer el resto de la red.

Los atacantes han aprovechado la vulnerabilidad crítica ZeroLogon (CVE-2020-1472) para obtener acceso de administrador a la red. Esto ocurrió a través del marco de JavaScript de SocGholish, que se encontró a principios de este año en docenas de sitios de periódicos pirateados propiedad de la misma empresa.

Plantar los anuncios falsos maliciosos que atraen a los usuarios desprevenidos a hacer clic en ellos para instalar una actualización fue posible al envenenar los resultados del motor de búsqueda o mediante anuncios maliciosos en línea.

En al menos un ataque que Microsoft detectó, los delincuentes compraron un anuncio de motor de búsqueda que provocó que los mejores resultados del software de Teams apuntaran a un dominio bajo su control.

Al hacer clic en el enlace, se descargó una carga útil que ejecutó un script de PowerShell para recuperar más contenido malicioso. También instaló una copia legítima de Microsoft Teams en el sistema para que las víctimas no se dieran cuenta del ataque.

Microsoft dice que en muchos casos la carga útil inicial fue Predator the Thief infostealer, que envía al atacante información confidencial como credenciales, navegador y datos de pago. Otro malware distribuido de esta manera incluye la puerta trasera Bladabindi (NJRat) y el ladrón ZLoader.

El malware también descargó otras cargas útiles, entre las que se encuentran las balizas Cobalt Strike, lo que le permite al atacante descubrir cómo pueden moverse lateralmente a través de la red.

En varios de los ataques observados, la última etapa fue la detonación de malware de cifrado de archivos en las computadoras de la red.

Microsoft advierte que los mismos patrones observados en las campañas de FakeUpdates que usan las actualizaciones de Teams como señuelo se observaron en al menos otros seis, lo que sugiere el mismo actor detrás de ellos. En algunas variaciones del mismo tema, el atacante utilizó el servicio de acortamiento de URL de IP Logger.