Microsoft Teams, objetivo del malware en la campaña FakeUpdates

Llegan avisos en los últimos días referentes a la aplicación colaborativa más popular de los últimos tiempos. Al parecer se están llevando a cabo intentos masivos de phishing contra Microsoft Teams, empleando Cobalt Strike.

Se están utilizando anuncios emergentes que intentan hacernos creer que existen actualizaciones para la aplicación Teams, según comenta BleepingComputer, actualizaciones recientes y urgentes que pretenden infectarnos con un troyano.

Los ataques se centran en organizaciones de varias industrias, pero las más recientemente afectadas son el sector educativo (K-12), al depender mucho en videoconferencias, debido a las restricciones del Covid-19.

Bleepingcomputer

Falsa actualización en Microsoft Teams

Cobalt Strike es una herramienta legítima de red teaming, pero malamente usada puede crear muchos problemas. Podría utilizarse para exfiltrar información o desplegar ransomware, entre otras cosas. También se ha usado CobaltStrike recientemente para intentar atacar usando Zerologon.

Es por eso, que en entre los artefactos encontrados en el triage forense de esta campaña, se encuentran muchos llamados «beacons» o señuelos referentes a esta suite.

En el advisory de Microsoft, se nos advierte de que la campaña FakeUpdates promueve la aparición de anuncios pagados en los buscadores, con el fin de que los resultados relacionados con Microsoft Teams sean copados con ellos.

Cuando el usuario en cuestión intenta descargar la actualización o programa, se le redirige a una descarga ubicada en un servidor del adversario. Después se ejecuta un script Powershell que carga el contenido realmente malicioso.

Malware reconocible en esta campaña de phishing

Se están distribuyendo diferentes amenazas en dicha campaña, lo que incluye Predator de Thief (infostealer/extractor de información) que saca fuera del equipo información como credenciales, datos financieros, etcétera. También está ZLoader, otro «stealer» de información confidencial. Finalmente, está Bladabindi o NJRat, un backdoor o puerta trasera.

Microsoft también advierte de que no es solo FakeUpdates, sino que otros patrones de ataque en campañas diferentes, con variaciones de esta técnica, están en marcha ahora mismo, así que parece que los atacantes están atacando por diferentes medios a la vez.

Mitigaciones

Para poder protegernos de alguna forma frente a este tipo de amenaza, se recomienda.

• Que los usuarios empleen navegadores que tengan la capacidad de filtrar y bloquear sitios web, además de tener contraseñas robustas y únicas para usuarios administradores.
• En equipos corporativos, es necesario asegurarse de que los sistemas de proxy/filtrado de URL funcionan correctamente.
• Otro punto a considerar es la necesidad de limitar los privilegios entregados al mínimo, evitando poner todos los permisos en una persona, para administrar un dominio (como ejemplo).
• Por último y no menos importante, está la opción de filtrar los archivos ejecutables o el código Javascript, por ejemplo, para que no sea descargado.

Y por supuesto, por descontado, los usuarios deben saber cómo actuar y reconocer el phishing.