Microsoft está advirtiendo a sus clientes sobre las llamadas campañas de “FakeUpdates” en un aviso de seguridad no público, según un informe en Bleeping Computer. La campaña está dirigida a varios tipos de empresas, con objetivos recientes en el sector de la educación K-12, donde las organizaciones dependen actualmente del uso de aplicaciones como Teams para videoconferencias debido a las restricciones de COVID-19.
Los atacantes están usando anuncios de falsas actualizaciones de Microsoft Teams, para desplegar puertas traseras, que usan Cobalt Strike para infectar las redes de las empresas con malware.
Cobalt Strike es una herramienta de simulación de ataques de productos básicos que utilizan los atacantes para difundir malware, en particular, programas de rescate. Recientemente, se ha visto a actores de amenazas utilizando Cobalt Strike en ataques que explotan Zerologon, una falla de elevación de privilegios que permite a los atacantes acceder a un controlador de dominio y comprometer completamente todos los servicios de identidad de Active Directory.
En el aviso, Microsoft dijo que ha visto a los atacantes en la última campaña de FakeUpdates usando anuncios de motores de búsqueda para empujar los resultados más altos del software de los equipos a un dominio que controlan y usan para actividades nefastas, según el informe. Si las víctimas hacen clic en el enlace, se descarga una carga útil que ejecuta un script de PowerShell, que carga contenido malicioso.
Las balizas Cobalt Strike son algunas de las cargas útiles que también se distribuyen en la campaña, que permiten a los actores de la amenaza moverse lateralmente a través de una red más allá del sistema inicial de infección, según el informe. El enlace también instala una copia válida de los equipos de Microsoft en el sistema para parecer legítimo y evitar alertar a las víctimas del ataque.
Entre los programas maliciosos que están distribuyéndose en la campaña se encuentra el infostealer Predator the Thief, que roba datos sensibles como credenciales, navegador y datos de pago, según el aviso. Microsoft también ha visto que el backdoor de Bladabindi (NJRat) y el ladrón de ZLoader son distribuidos por las últimas campañas, según el informe.
Además de las campañas de FakeUpdates que utilizan los señuelos de los equipos de Microsoft, el gigante de la tecnología también ha visto patrones de ataque similares en al menos otras seis campañas con variaciones del mismo tema, lo que sugiere un ataque más amplio por parte de los mismos actores de la amenaza, según el informe. En otro caso, por ejemplo, los atacantes utilizaron el servicio de acortamiento de URL del IP Logger, advirtió Microsoft.
Microsoft ofreció varias técnicas de mitigación para la última ola de ataques de FakeUpdates. La compañía recomienda que la gente utilice navegadores web que puedan filtrar y bloquear los sitios web maliciosos, y que se aseguren de que las contraseñas de los administradores locales sean fuertes y no se puedan adivinar fácilmente.
Los privilegios de administración también deberían limitarse a los usuarios esenciales y evitar las cuentas de servicio de todo el dominio que tienen los mismos permisos que un administrador, según el informe.
Las organizaciones pueden limitar su superficie de ataque para mantener a los atacantes a raya bloqueando los archivos ejecutables que no cumplan con criterios específicos o bloqueando el código JavaScript y VBScript para que no descarguen contenido ejecutable, aconsejó Microsoft.
Con información de: Bleeping Computer.