Microsoft revoca en masa certificados: un clic en «Descargar Teams» podría haber comprometido todos los datos de los clientes
Una puerta trasera tan bien camuflada obliga a la empresa a reescribir por completo sus políticas de seguridad.
La empresa Microsoft bloqueó más de doscientos certificados digitales que se utilizaban en ataques con el ransomware Rhysida. Estas firmas permitían distribuir paquetes maliciosos mediante instaladores falsos de Microsoft Teams, en los que se ocultaba el backdoor Oyster. Los atacantes del grupo rastreado como Vanilla Tempest obtenían acceso para insertar el componente malicioso en el sistema de la víctima y luego desplegaban la infección completa con el lanzamiento posterior del ransomware.
Los instaladores falsos se alojaban en sitios que imitaban el recurso oficial de Microsoft Teams — entre ellos dominios como teams-download[.]buzz y teams-install[.]run. Para atraer a las víctimas se emplearon técnicas de posicionamiento en buscadores: al introducir la consulta, el usuario llegaba a un sitio malicioso que ofrecía descargar un supuesto instalador oficial. Esta estrategia funcionó: los usuarios confiaban en el aspecto de la página y en los títulos en los resultados de búsqueda, lo que facilitó a los atacantes obtener el acceso inicial.
Los certificados digitales usados en estos ataques se obtuvieron a través del servicio Trusted Signing y también a través de grandes centros de certificación, incluidos SSL[.]com, DigiCert y GlobalSign. Tras la compromiso del sistema estos certificados permitían ejecutar componentes maliciosos sin notificaciones de alarma, ya que sus firmas se consideraban legítimas. Entre las herramientas empleadas están el backdoor Oyster, también conocido como Broomstick y CleanUpLoader, y el propio ransomware Rhysida, que antes fue distribuido por el grupo Vice Society, también llamado Vice Spider.
El equipo de Microsoft informó que la actividad se detectó a finales de septiembre y se cortó a principios de octubre. Junto con la revocación de los certificados se actualizaron las reglas de detección en los productos de protección para bloquear las firmas asociadas con este escenario de infección. Sin embargo, la empresa subraya que ataques similares demuestran una tendencia persistente al abuso del posicionamiento en buscadores y de la publicidad en motores de búsqueda con el fin de distribuir instaladores maliciosos que se hacen pasar por aplicaciones populares.
Según Blackpoint Cyber, este método de entrega fue el que se utilizó en la cadena de ataques actual. En lugar del cliente oficial de Teams se ofrecía al usuario un archivo ejecutable malicioso con el mismo nombre. Este camuflaje permite a la carga maliciosa eludir con éxito los filtros iniciales y los controles antivirus.
El problema se agrava porque la falsificación de componentes confiables del sistema y el uso de certificados legítimos hacen que estos ataques sean especialmente difíciles de detectar. Incidentes como este subrayan la importancia de descargar programas únicamente desde fuentes oficiales y de ser cauteloso con los enlaces publicitarios en los resultados de búsqueda.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla