Microsoft dijo el jueves que ha revocado más de 200 certificados utilizados por Vanilla Tempest, un atacante al que rastrea para firmar de manera fraudulenta archivos binarios maliciosos en ataques de ransomware.
El equipo de Microsoft Threat Intelligence dijo en una publicación compartida en X que el certificado fue «usado en un archivo de configuración falso de Teams para entregar la puerta trasera Oyster y, en última instancia, implementar el ransomware Rhysida».
El gigante tecnológico anunció a principios de este mes que había suspendido la actividad después de que fuera detectada a fines de septiembre de 2025. Además de la revocación de certificados, las soluciones de seguridad de la compañía se actualizaron para marcar firmas asociadas con archivos de configuración falsos, puerta trasera Oyster y ransomware Rhysida.
Vanilla Tempest (anteriormente conocido como Storm-0832) es el nombre que se le da a un actor de amenazas con motivación financiera, también conocido como Vice Society o Vice Spider, que se estima que ha estado activo desde al menos julio de 2022 y ha distribuido varias cepas de ransomware a lo largo de los años, incluidos BlackCat, Quantum Locker, Zeppelin y Rhysida.
Oyster (también conocido como Broomstick y CleanUpLoader), por otro lado, es una puerta trasera que a menudo se distribuye a través de instaladores troyanizados para software popular como Google Chrome y Microsoft Teams utilizando sitios web falsos que los usuarios encuentran cuando buscan programas en Google o Bing.
«En esta campaña, Vanilla Tempest utilizó archivos MSTeamsSetup.exe falsos (por ejemplo, Teams-download(.)buzz, Teams-install(.)run o Teams-download(.)top) alojados en dominios maliciosos que imitan a Microsoft Teams», dijo Microsoft. «Los usuarios podrían ser dirigidos a sitios de descarga maliciosos utilizando el envenenamiento de optimización de motores de búsqueda (SEO)».
Para firmar estos instaladores y otras herramientas posteriores al compromiso, los actores de amenazas supuestamente utilizaron Trusted Signing, además de los servicios de firma de código SSL(.)com, DigiCert y GlobalSign.
Los detalles de la campaña fueron revelados por primera vez por Blackpoint Cyber el mes pasado, mostrando cómo los usuarios que buscaban Teams en línea eran redirigidos a una página de descarga falsa que mostraba el malicioso MSTeamsSetup.exe en lugar del cliente legítimo.
«Esta actividad pone de relieve el continuo uso indebido del envenenamiento de SEO y la publicidad maliciosa para ofrecer puertas traseras en productos bajo la apariencia de software confiable», dijo la compañía. «Esos atacantes están explotando la confianza de los usuarios en los resultados de búsqueda y en marcas conocidas para obtener acceso inicial».
Para reducir dichos riesgos, le recomendamos que sólo descargue software de fuentes verificadas y evite hacer clic en enlaces sospechosos proporcionados a través de anuncios de motores de búsqueda.
Source link
