Y como siempre, los ciberdelincuentes vuelven a aprovecharse de los usuarios despistados. Recientemente se ha descubierto una nueva campaña de anuncios y resultados de búsqueda que son manipulados con el objetivo de distribuir un falso instalador de Microsoft Teams. Lógicamente, a primera vista, la página parece legitima, pero en realidad lo que se esta descargando es un malware altamente dañino, que pone en riesgo a particulares y a empresas.
Esta técnica no es nueva, es conocida como malvertising o envenenamiento SEO, el hecho es que ahora está enfocada en una aplicación bastante popular de Microsoft, la cual es usada a diario en entornos laborales y educativos, por lo que la situación la hace especialmente preocupante.
Oyster es la puerta trasera disfrazada de Microsoft Teams
Según se ha informado desde Bleeping Computer, el software malicioso detrás de la aplicación legitima se llama Oyster pero también es conocido como Broomstick o CleanUpLoader. Se trata de una puerta trasera que ha permanecido activa desde 2023 y es capaz de ejecutar comandos remotos, descargar más malware, transferir archivos e incluso, prepara el PC para realizar ataques más graves como es el ransomware.
El engaño llevado a cabo es simple pero efectivo: el usuario busca «Descargar Teams«, en algunos casos se muestra un anuncio o un resultado que ha sido manipulado, por lo que lo conduce a una página falsa. Ahí es donde se encuentra el archivo llamado “MSTeamsSetup.exe”, tal cual el instalador oficial de Teams, por lo tanto, los usuarios lo pasan desapercibidos.
De acuerdo a los investigadores, este archivo incluso incluía un certificados de firma aparentemente legítimos para generar confianza. Una vez que el usuarios lo ejecuta, instala una DLL llamada “CaptureService.dll” en la carpeta %APPDATA%\Roaming y programa una tarea llamada “CaptureService”, a la cual se activa cada 11 minutos. Este mecanismo permite que la puerta trasera siempre este activa aún cuando el usuarios reinicie el equipo.
Cómo pueden protegerse de esta amenaza los usuarios
Desde un principio, el consejo para los usuarios ha sido bastante claro: descargar software únicamente desde los sitios oficiales. Jamás se debe confiar a ciegas en anuncios pagados o en enlaces que aparecen en las primeras posiciones de Google, también es importante siempre verificar la URL y, en caso de duda, lo mejor es acceder a la página oficial de Microsoft o a la de cualquier distribuidor de software.
Por otra parte, en el caso de las empresas y TI, es recomendable reforzar las medidas de seguridad:
- Restringir descargas desde páginas de terceros no verificadas.
- Supervisar tareas programadas para detectar entradas sospechosas como “CaptureService”.
- Implementar reglas en sistemas EDR/SIEM que detecten comportamientos inusuales, como la ejecución de DLL desde %APPDATA%.
- Verificar firmas digitales de los instaladores para evitar falsos positivos de confianza.
Este nuevo descubrimiento nos hace recordar a lo que paso en 2024, los atacantes habían clonado las aplicaciones WinSCP y PuTTY, haciendo uso de este mismo patrón. En definitiva, la mejor defensa es la precaución: siempre comprobar las fuentes de descarga antes de instalar cualquier aplicación.