{"id":951087,"date":"2023-09-13T23:26:56","date_gmt":"2023-09-13T23:26:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-una-nueva-campana-de-phishing-dirigida-a-corporaciones-a-traves-de-mensajes-de-teams\/"},"modified":"2023-09-13T23:26:59","modified_gmt":"2023-09-13T23:26:59","slug":"microsoft-advierte-sobre-una-nueva-campana-de-phishing-dirigida-a-corporaciones-a-traves-de-mensajes-de-teams","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-una-nueva-campana-de-phishing-dirigida-a-corporaciones-a-traves-de-mensajes-de-teams\/","title":{"rendered":"Microsoft advierte sobre una nueva campa\u00f1a de phishing dirigida a corporaciones a trav\u00e9s de mensajes de Teams"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft advierte sobre una nueva campa\u00f1a de phishing emprendida por un corredor de acceso inicial que implica el uso de mensajes de Teams como se\u00f1uelo para infiltrarse en las redes corporativas.<\/p>\n<p>El equipo de Threat Intelligence del gigante tecnol\u00f3gico est\u00e1 rastreando el cl\u00faster bajo el nombre <strong>Tormenta-0324<\/strong>que tambi\u00e9n se conoce con los apodos TA543 y Sagrid.<\/p>\n<p>&#8220;A partir de julio de 2023, se observ\u00f3 que Storm-0324 distribu\u00eda cargas \u00fatiles utilizando una herramienta de c\u00f3digo abierto para enviar se\u00f1uelos de phishing a trav\u00e9s de chats de Microsoft Teams&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/09\/12\/malware-distributor-storm-0324-facilitates-ransomware-access\/\" target=\"_blank\">dicho<\/a>y agrega que el desarrollo marca un cambio en el uso de vectores de infecci\u00f3n iniciales basados \u200b\u200ben correo electr\u00f3nico para el acceso inicial.<\/p>\n<p>Storm-0324 opera en la econom\u00eda cibercriminal como distribuidor de carga \u00fatil y ofrece un servicio que permite la propagaci\u00f3n de <a rel=\"nofollow noopener\" href=\"https:\/\/research.nccgroup.com\/2021\/05\/04\/rm3-curiosities-of-the-wildest-banking-malware\/\" target=\"_blank\">varios<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/csis-techblog\/chapter-1-from-gozi-to-isfb-the-history-of-a-mythical-malware-family-82e592577fef\" target=\"_blank\">cargas \u00fatiles<\/a> utilizando cadenas de infecci\u00f3n evasivas.  Esto incluye una combinaci\u00f3n de descargadores, troyanos bancarios, ransomware y kits de herramientas modulares como Nymaim, Gozi, TrickBot, IcedID, Gootkit, Dridex, Sage, GandCrab y JSSLoader.<\/p>\n<p>Las secuencias de ataque montadas por el actor en el pasado han empleado mensajes de correo electr\u00f3nico se\u00f1uelo con temas de facturas y pagos para enga\u00f1ar a los usuarios para que descarguen archivos ZIP alojados en SharePoint y distribuyan <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/jssloader-recoded-and-reloaded\" target=\"_blank\">Cargador JSS<\/a>un cargador de malware capaz de crear perfiles de m\u00e1quinas infectadas y cargar cargas \u00fatiles adicionales.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Las cadenas de correo electr\u00f3nico del actor son muy evasivas y utilizan sistemas de distribuci\u00f3n de tr\u00e1fico (TDS) como BlackTDS y Keitaro, que proporcionan capacidades de identificaci\u00f3n y filtrado para adaptar el tr\u00e1fico de los usuarios&#8221;, dijo Microsoft.<\/p>\n<p>&#8220;Esta capacidad de filtrado permite a los atacantes evadir la detecci\u00f3n mediante ciertos rangos de IP que podr\u00edan ser soluciones de seguridad, como zonas de pruebas de malware, al tiempo que redirige con \u00e9xito a las v\u00edctimas a su sitio de descarga malicioso&#8221;.<\/p>\n<p>El acceso proporcionado por el malware allana el camino para que el actor de ransomware como servicio (RaaS) Sangria Tempest (tambi\u00e9n conocido como Carbon Spider, ELBRUS y FIN7) lleve a cabo acciones posteriores a la explotaci\u00f3n e implemente malware de cifrado de archivos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1694647616_619_Microsoft-advierte-sobre-una-nueva-campana-de-phishing-dirigida-a.jpg\" alt=\"Campa\u00f1a de phishing\" border=\"0\" data-original-height=\"522\" data-original-width=\"728\" title=\"Campa\u00f1a de phishing\"\/><\/div>\n<p>Desde entonces, el modus operandi recibi\u00f3 un lavado de cara a partir de julio de 2023, en el que los se\u00f1uelos de phishing se env\u00edan a trav\u00e9s de Teams con enlaces maliciosos que conducen a un archivo ZIP malicioso alojado en SharePoint.<\/p>\n<p>Esto se logra aprovechando una herramienta de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Octoberfest7\/TeamsPhisher\" target=\"_blank\">EquiposPhisher<\/a>que permite a los usuarios de inquilinos de Teams adjuntar archivos a mensajes enviados a inquilinos externos aprovechando un problema que fue <a rel=\"nofollow noopener\" href=\"https:\/\/labs.jumpsec.com\/advisory-idor-in-microsoft-teams-allows-for-external-tenants-to-introduce-malware\/\" target=\"_blank\">primero resaltado<\/a> por JUMPSEC en junio de 2023.<\/p>\n<p>Vale la pena se\u00f1alar que el actor estatal-naci\u00f3n ruso APT29 (tambi\u00e9n conocido como Midnight Blizzard) adopt\u00f3 una t\u00e9cnica similar en ataques dirigidos a unas 40 organizaciones en todo el mundo en mayo de 2023.<\/p>\n<p>La compa\u00f1\u00eda dijo que ha realizado varias mejoras de seguridad para bloquear la amenaza y que &#8220;suspendi\u00f3 las cuentas identificadas y los inquilinos asociados con comportamiento no aut\u00e9ntico o fraudulento&#8221;.<\/p>\n<p>&#8220;Debido a que Storm-0324 cede el acceso a otros actores de amenazas, identificar y remediar la actividad de Storm-0324 puede evitar ataques posteriores m\u00e1s peligrosos, como el ransomware&#8221;, se\u00f1al\u00f3 adem\u00e1s Microsoft.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Kaspersky detall\u00f3 las t\u00e1cticas, t\u00e9cnicas y procedimientos del notorio grupo de ransomware conocido como Cuba (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/unc2596-cuba-ransomware\" target=\"_blank\">DIBUJO EN FR\u00cdO<\/a> y Tropical Scorpius), adem\u00e1s de identificar un nuevo alias llamado &#8220;V Is Vendetta&#8221; que se sospecha que ha sido utilizado por un subgrupo o afiliado.<\/p>\n<p>El grupo, al igual que los esquemas RaaS, emplea el modelo de negocio de doble extorsi\u00f3n para atacar a numerosas empresas en todo el mundo y generar ganancias il\u00edcitas.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield.  Descubra por qu\u00e9 la identidad es el nuevo punto final.  Asegura tu lugar ahora.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Las rutas de ingreso implican la explotaci\u00f3n de ProxyLogon, ProxyShell, ZeroLogon y fallas de seguridad en el software Veeam Backup &#038; Replication para implementar Cobalt Strike y un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/ransomware-spotlight\/ransomware-spotlight-cuba\" target=\"_blank\">puerta trasera personalizada<\/a> denominado BUGHATCH, que luego se utiliza para entregar versiones actualizadas de BURNTCIGAR para finalizar el software de seguridad que se ejecuta en el host.<\/p>\n<p>&#8220;La banda cubana de cibercrimen emplea un amplio arsenal de herramientas disponibles p\u00fablicamente y hechas a medida, que mantiene actualizadas, y diversas t\u00e9cnicas y m\u00e9todos, incluidos algunos bastante peligrosos, como BYOVD&#8221;, dijo Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/cuba-ransomware\/110533\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Los ataques de ransomware han <a rel=\"nofollow noopener\" href=\"https:\/\/ico.org.uk\/action-weve-taken\/data-security-incident-trends\/\" target=\"_blank\">presenciado<\/a> a <a rel=\"nofollow noopener\" href=\"https:\/\/therecord.media\/ransomware-attacks-record-in-UK\" target=\"_blank\">pico importante<\/a> en 2023, y el Centro Nacional de Seguridad Cibern\u00e9tica (NCSC) y la Agencia Nacional contra el Crimen (NCA) del Reino Unido se\u00f1alaron que &#8220;dependen de una cadena de suministro compleja&#8221;.<\/p>\n<p>&#8220;Centrarse en cepas espec\u00edficas de ransomware puede resultar, en el mejor de los casos, confuso y, en el peor, in\u00fatil&#8221;, afirman las agencias. <a rel=\"nofollow noopener\" href=\"https:\/\/www.ncsc.gov.uk\/whitepaper\/ransomware-extortion-and-the-cyber-crime-ecosystem\" target=\"_blank\">dicho<\/a> en un informe publicado a principios de esta semana.  &#8220;La mayor\u00eda de los incidentes de ransomware no se deben a t\u00e9cnicas de ataque sofisticadas; los accesos iniciales a las v\u00edctimas se obtienen de manera oportunista, y el \u00e9xito suele ser el resultado de una mala higiene cibern\u00e9tica&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/microsoft-warns-of-new-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de septiembre de 2023\ue804THNAtaque cibern\u00e9tico\/malware Microsoft advierte sobre una nueva campa\u00f1a de phishing emprendida por un corredor<\/p>\n","protected":false},"author":1,"featured_media":951088,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,4661,3372,4664,41388,8317,4662,4668,201033,821,7983,4654,201031,4659,4653,4655,212,8178,4666,4665,131,201032,49203,116,158,4660],"class_list":["post-951087","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-corporaciones","tag-dirigida","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-mensajes","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-phishing","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sobre","tag-software-malicioso-ransomware","tag-teams","tag-traves","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/951087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=951087"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/951087\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/951088"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=951087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=951087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=951087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}