Se ha encontrado una nueva campaña de malware que está abusando de los mensajes de Microsoft Teams para enviar distintos archivos adjuntos maliciosos y que son capaces de instalar el peligroso malware llamado DarkGate Loader.

La campaña comenzó el mes pasado cuando dos cuentas oficiales comprometidas de Office 365 lograron enviar mensajes fraudulentos de Microsoft Teams a organizaciones.

Al ser cuentas oficiales comprometidas, muchas organizaciones cayeron en la trampa, y provocaron que descargaran y abrieran un archivo ZIP llamado “cambios en el calendario de vacaciones”.

Si se hace clic en este archivo adjunto, se activa la descarga desde una URL externa que contiene un archivo LNK disfrazado de documento PDF.

Los investigadores de Truesec analizaron esta campaña phishing de Microsoft Teams y descubrieron que contiene el script malicioso VBScript, que es capaz de desencadenar una cadena de infección que conduce a una carga útil identificada como DarkGate Loader.

A pesar de que Microsoft ya conoce el alcance de esta campaña desde hace tiempo, decidieron no abordar el tema y en su lugar recomendaron que los administradores apliquen configuraciones seguras como listas de permitidos y deshabiliten el acceso externo si no fuera necesario.

El malware ya ha estado circulando desde 2017, y de momento está teniendo un uso bastante limitado, dado que los ciberdelincuentes prefieren enfocarlo a las organizaciones.

Este malware es realmente peligroso, dado que puede conseguir acceso remoto, minería de criptomonedas, registro de teclas, robo de lo que tengamos copiado en el portapapeles y extracción de información como pueden ser distintos archivos o datos del navegador.