Apresurarte antes de una reunión laboral puede costarte caro: analizamos la nueva ola de ataques contra usuarios de Microsoft Teams
Archivo falso adormece la vigilancia y encubre con maestría las huellas del ataque.
Los atacantes vuelven a aprovechar la costumbre de los usuarios de descargar programas de trabajo con prisa. En esta ocasión el cebo fueron páginas falsas de Microsoft Teams, que parecen el sitio oficial de descarga pero en lugar de un instalador seguro instalan el troyano ValleyRAT en el equipo.
Según K7 Security Labs, los atacantes usan los dominios teams-securecall[.]com y teamszs[.]com. Las páginas imitan el diseño del sitio de Microsoft Teams y ofrecen descargar archivos ZIP con instaladores que contienen un troyano. Tras la ejecución se instalan no solo componentes maliciosos, sino también la versión legítima de Microsoft Teams, y además se crea un acceso directo en el escritorio. Esta técnica ayuda a ocultar la infección, porque el usuario ve la aplicación esperada y puede no notar actividad sospechosa.
Dentro de la cadena de infección se utiliza un archivo legítimo GameBox.exe de Tencent. A través de este se carga la biblioteca maliciosa utility.dll. Este método se conoce como suplantación o carga lateral de DLL y permite que el código malicioso parezca parte de una aplicación de confianza. Además, el programa modifica la configuración de Windows Defender mediante PowerShell, añadiendo sus propias carpetas y archivos a las excepciones.
ValleyRAT copia componentes en ProgramData, oculta archivos al usuario y modifica el registro. Para persistir en el sistema se crea el servicio _CCGDAT, que se ejecuta junto con Windows. Los autores del informe también encuentran indicios similares a operaciones previas de ValleyRAT, incluidos artefactos en chino. El panorama técnico sugiere una relación con la actividad del grupo APT SilverFox.
La carga útil se almacena cifrada y se descifra directamente en memoria mediante funciones de Windows. A continuación el código se ejecuta sin escribir el módulo principal en disco, lo que reduce la probabilidad de detección por parte de los antivirus convencionales. Las fases siguientes aplican hashing de API y un cifrado XOR propio al obtener el código final del servidor de comando. Este enfoque permite a los operadores cambiar rápidamente las capacidades del malware tras la infección.
Tras su despliegue, ValleyRAT supervisa el portapapeles, intercepta pulsaciones de teclas, recopila registros de servicio y mantiene comunicación continua con la infraestructura de control por TCP. Mediante el portapapeles los atacantes pueden obtener contraseñas, tokens y direcciones de billeteras de criptomonedas si el usuario copia esos datos durante su actividad.
En entornos corporativos, un logotipo familiar y una página de descarga cuidada ya no pueden considerarse sinónimo de seguridad. La protección fiable comienza con disciplina básica: verificar la fuente del instalador, limitar la ejecución de archivos desconocidos y no fiarse de la apariencia del sitio, aunque se trate de una aplicación de trabajo conocida.