Campaña de Vishing para desplegar ransomware
Recientemente, se han detectado dos nuevas campañas de vishing, una técnica fraudulenta utilizada para engañar a las personas mediante llamadas telefónicas o a través de internet. Estas campañas se están llevando a cabo mediante la plataforma Microsoft Teams.
La primera campaña fue identificada por la compañía Sophos con el nombre de “STAC5143”. Su modus operandi consistía en enviar correos masivos a un ritmo de 3,000 emails por cada 45 minutos. Posteriormente, la víctima recibía una llamada por Teams desde una cuenta con el nombre “Help Desk Manager”. Dicha cuenta era falsa, pero servía para engañar a la víctima y solicitarle acceso a su dispositivo mediante la opción “Ceder control” de la aplicación Teams. Al obtener el control del equipo, el atacante procedía a descargar principalmente dos archivos: un archivo de Java, que descargaba un ejecutable de Proton VPN (legítimo), pero que, a su vez, instalaba un DLL malicioso (nethost.dll). Este DLL creaba un canal de comunicación de “command and control”, escaneaba el equipo en busca de información y ejecutaba un malware que desplegaba RPivot, un script de Python utilizado en pruebas de penetración, permitiendo el envío de comandos a través de túneles proxy.
Imagen del código ofuscado para descargar RPivot. [1]
Se cree que los atacantes detrás de “STAC5143” podrían ser el grupo FIN7, aunque esto es una suposición, ya que el código de ofuscación de RPivot es público. Además, se sabe que FIN7 ha vendido sus herramientas a otros grupos criminales anteriormente, por lo que no se puede afirmar con certeza que este grupo sea el responsable de la campaña. El ataque fue detenido antes de completarse, por lo que se sospecha que su objetivo final era desplegar ransomware.
La segunda campaña de vishing fue identificada con el nombre “STAC5777” y su modus operandi es similar al anterior. También comienza con el envío de correos masivos, seguido de mensajes a través de Teams haciéndose pasar por el equipo de soporte de TI. Aquí es donde está campaña se diferencia de la anterior, ya que la víctima es engañada para instalar Microsoft Quick Assist, lo que permite al atacante obtener acceso al teclado de la víctima y proceder a instalar malware alojado en una máquina de Azure. El malware instalado, winhttp.dll, se ejecuta como un servicio legítimo de Microsoft (OneDriveStandaloneUpdater.exe).
STAC5777 utiliza el archivo DLL para recopilar registros de las pulsaciones del teclado del usuario, además de escanear el equipo en busca de posibles pivotes mediante SMB, RDP y WinRM. Al final del ataque, este grupo intentó desplegar el ransomware BlackBasta, lo que sugiere una posible relación con dicho grupo, aunque no se ha confirmado al 100%
Indicadores de Compromiso:
| Tipo | IOC |
| sha256 | 4b6a008c8b85803dc19a8286f33cad963425d37c4ca0b1a9454a854db3273dad |
| sha256 | a23560a3b9a9578dcd70bcd01434b2053940d6be36e543df8e4d36931ca9ea63 |
| sha256 | f009ec775b2daa5a0f38dc2593a3c231611bea7cb579363915d9be1135b00455 |
| sha256 | 3d0e55bd3c84e6cb35559ef1d0f2ef72a21e0f3793a9158d514f12f46b0aff85 |
| sha256 | 801525d7239e46f9c22d7e7bcd163abcfb29fc0770ff417f5fc62bfb005ec7ac |
| sha256 | ea2b3bf32cc27e959e19c365fa2f6e5310ef2e76d3d0ed2df3fb5945f9afc9e7 |
| sha256 | 4b6a008c8b85803dc19a8286f33cad963425d37c4ca0b1a9454a854db3273dad |
| sha256 | a23560a3b9a9578dcd70bcd01434b2053940d6be36e543df8e4d36931ca9ea63 |
| sha256 | 42d09288a78363cac90759ddce814a420f22d174768c1e406bf2d8fed2c38ade |
| sha256 | 8abc8c92ebfe78f54e7488a467d1b6e90d28382067b49a954e31133691112eba |
| sha256 | 697d5213d69cdfbd943c6d395f907b8fe210bbfc9d78a9d41a046ba55bebb5ff |
| ip | 207.90.238.99 |
| ip | 109.107.170.2 |
| ip | 195.133.1.117 |
| ip | 206.206.123.75 |
| ip | 194.87.39.183 |
| Correo | [email protected] |
Recomendaciones
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Parsons, M. Cowie, C. Souter, D. Neal, H. Bradshaw, A. Gallagher, S. (2025. Enero 21) Sophos MDR tracks two ransomware campaigns using “email bombing,” Microsoft Teams “vishing”. Recuperado el 22 de enero del 2025 en: https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/
- Constantin, L. (2025, Enero 21) Microsoft Teams vishing attacks trick employees into handing over remote access. Recuperado el 22 de enero del 2025 en: https://www.csoonline.com/article/3806856/spam-and-vishing-attacks-trick-employees-into-handing-over-microsoft-teams-access.html
- Toulas, B. (2025, Enero 21) Ransomware gangs pose as IT support in Microsoft Teams phishing attacks. Recuperado el 22 de enero del 2025 en: https://www.bleepingcomputer.com/news/security/ransomware-gangs-pose-as-it-support-in-microsoft-teams-phishing-attacks/
