Los ciberdelincuentes están armando cada vez más equipos de Microsoft, explotando el papel confiable de la plataforma en las comunicaciones corporativas para implementar malware y aprovechar el control de los sistemas de víctimas.
En una campaña sofisticada, los actores de amenazas están haciendo pasar por el personal de soporte de TI en los equipos de Microsoft Chats para engañar a los empleados para que otorguen acceso remoto, marcando una evolución peligrosa de los ataques tradicionales de phishing basados en el correo electrónico.
La ingeniería social sigue siendo una táctica altamente efectiva para los piratas informáticos, y como las empresas tienen plataformas integradas como los equipos de Microsoft en sus operaciones principales, los atacantes han seguido. El lugar inherente de los empleados de la confianza en la mensajería interna lo convierte en un terreno fértil para el engaño.
Las campañas recientes analizadas por los investigadores de seguridad cibernética de Permiso revelan un ataque de varias etapas que comienza con un mensaje simple y culmina en el despliegue de malware potente y multifuncional.
Malware basado en PowerShell a través de equipos de Microsoft
La cadena de ataque a menudo comienza con un mensaje directo o llamada desde una cuenta de equipos de Microsoft recién creado o comprometida. Estas cuentas están diseñadas para verse legítimas, utilizando nombres de visualización como “Soporte de TI” o “Especialista en la mesa de ayuda” para hacerse pasar por el personal de confianza.
Cadena de ataque del equipo de Microsoft
Los atacantes a menudo usan emojis de marca de verificación para simular un estado verificado y aprovechar la estructura del dominio Onmicrosoft.com de Microsoft para que parezca que son parte de la organización.
A medida que el personal de TI aborda un problema de rutina, como el mantenimiento del sistema, los atacantes construyen una relación con su objetivo.
Una vez que se establece la confianza, persuaden al empleado para que instale un software de acceso remoto, como Quickassist o Anydesk, bajo la apariencia de proporcionar asistencia técnica. Este paso crítico le da al atacante un punto de apoyo directo en la máquina del usuario y la red corporativa.
Si bien se han vinculado técnicas similares que involucran herramientas de acceso remoto a grupos de ransomware como Blackbasta desde mediados de 2014, estas campañas más nuevas son más directas, a menudo renuncian a las campañas de correo electrónico masivas preliminares vistas en el pasado.
Las cargas útiles maliciosas también se han diversificado, con incidentes recientes que involucran a los cargadores de malware Darkgate y Matanbuchus.
Una vez que se asegura el acceso remoto, el atacante ejecuta un comando PowerShell para descargar la carga útil maliciosa principal. Este script está lejos de ser simple, equipado con capacidades para el robo de credenciales, estableciendo persistencia a largo plazo y ejecución de código remoto, permiso dicho.
Para evadir la detección y complicar la eliminación, el malware puede designar su propio proceso como “crítico”, lo que haría que el sistema se bloquee si se termina.
También utiliza un indicador de la credencial de Windows de aspecto legítimo para engañar a los usuarios para que ingresen sus contraseñas, que luego se exfiltran a un servidor controlado por el atacante.
El análisis del código de la carga útil reveló claves de encriptación codificadas que vinculan la campaña con un actor de amenaza de motivación financiera conocida rastreado como Water Gamayun (también conocido como CiCryPTHUB).
Este grupo tiene un historial de combinación de ingeniería social sofisticada con malware personalizado para apuntar a profesionales y desarrolladores de TI de habla inglesa.
Los empleados deben estar capacitados para permanecer atentos contra el contacto no solicitado, incluso en plataformas internas de confianza. Todas las solicitudes de credenciales o la instalación del software de acceso remoto deben verificarse independientemente a través de un canal de comunicación separado y conocido.
Ohere es una tabla de los indicadores de compromiso (COI) basado en la información proporcionada.
IndicatortypeHttps: // audiorealTeak (.) Com/Payload/build.ps1urlhttps: // cjhsbam (.) Com/payload/runner.ps1url104.21.40 (.) 219IPV4193.5.65 (.) 199ipv4mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) CAPILLA) (Khtml, como gecko) Chrome/7.0.500.0 Safari/534.6user agente (UA) y 9*ZS7LY%Zn1ThFiinitialization Key62088a7b-Ae9f-2333-77a-6e9c921cb48EmutexHelp Desk Specialist ✅Sumer Nameit Soport✅User Display Namemarco Dasilva IT Support ✅User Nombre de visualización Soporte ✅ User NameHelp Deskuser Display Name@Cybersecurityadm.onmicrosoft () Name@updateteamis.onmicrosoft (.) Comuser principal name@supportbotit.onmicrosoft (.) Comuser principal name@replysupport.onmicrosoft (.) Comuser principal name@administratoritdep.onmicrosoft (.) Comuser name@luxadmn.onmicrosoft (.) Principal name@firewalloverview.onmicrosoft (.) Comusor Nombre principal
A medida que los actores de amenaza continúan innovando, una estrategia de defensa en profundidad, que combina controles técnicos con una sólida educación de usuarios, es esencial para proteger contra los ataques que convierten las herramientas de colaboración en conductos para el compromiso.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
