¡Instalador falso de Microsoft Teams! Certificados de un solo uso y una puerta trasera en la descarga.

Antonio Piazzolla : 29 septiembre 2025 07:25

Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado redirige a una página de descarga y el usuario descarga un archivo llamado MSTeamsSetup.exe y lo ejecuta. Pero los detalles marcan la diferencia, y son precisamente estos los que hacen que la operación sea tan insidiosa.

El archivo no es un ejecutable malicioso común; está firmado digitalmente . Para muchos, esto implica confianza. De hecho, los atacantes han encontrado una forma de aprovecharse de la confianza en las firmas digitales: utilizan certificados «desechables» , válidos solo por unas horas o días, el tiempo justo para distribuir el malware e infectar los sistemas antes de que la firma se invalide o se marque como sospechosa. Este enfoque rápido y automatizado reduce la probabilidad de que los controles de seguridad basados en la reputación tengan tiempo de reaccionar.

La cadena del compromiso, paso a paso

Todo el ataque, según el análisis de los investigadores de Conscia, puede verse como una cadena de compromiso compuesta de fases distintas pero estrechamente vinculadas.

1. Del anuncio a la descarga
   Todo comienza con un anuncio patrocinado o un enlace manipulado en los resultados de un motor de búsqueda. El usuario hace clic y es redirigido a una secuencia de redirecciones (p. ej., team.frywow[.]com → teams-install[.]icu), hasta llegar a la página que ofrece el instalador falso. En esta etapa, ya existen indicios sospechosos: URL anómalas, dominios con TLD poco comunes como .icu, múltiples redirecciones.
2. La ilusión del archivo firmado
   El usuario descarga MSTeamsSetup.exe en la carpeta Descargas y lo ejecuta. A primera vista, el archivo parece legítimo porque está firmado digitalmente. Pero al examinarlo más detenidamente, se descubre que el certificado fue emitido por una entidad desconocida y tiene un periodo de validez ridículamente corto, a menudo inferior a 72 horas. Esta es la primera señal de alerta real.
3. El cargador que marca el camino
   Una vez iniciado, el instalador no cumple lo prometido. En su lugar, ejecuta un cargador que descarga y coloca componentes adicionales, a menudo en carpetas como %APPDATA%MicrosoftTeams o %TEMP%. Para garantizar que el código malicioso se reactive incluso al reiniciar, se crean claves de registro (HKCU…Run) o tareas programadas con nombres tranquilizadores como TeamsUpdate. Estos son pequeños detalles, pero observados en un entorno corporativo, pueden marcar la diferencia entre una falsa alarma y una vulnerabilidad real.
4. Evasión y comunicación con C2
   Para evitar ser detectado, el malware explota herramientas ya presentes en Windows: PowerShell con comandos codificados, rundll32 y regsvr32. Estas herramientas, utilizadas en contextos sospechosos, permiten ejecutar código sin llamar demasiado la atención. Inmediatamente después, el cargador intenta contactar con el servidor de comando y control (por ejemplo, nickbush24[.]com) mediante solicitudes HTTPS que imitan el tráfico real del navegador. Este tráfico a dominios nuevos o desconocidos es otro indicador importante.

Señales que no debes ignorar

Cada fase deja rastros observables que pueden detectarse si sabes qué buscar:

• Un certificado válido por menos de 72 horas, emitido por una entidad desconocida.
• Claves de registro o tareas programadas con nombres relacionados con “actualización” o “Equipos”.
• Comandos de PowerShell con -EncodedCommand o uso indebido de rundll32/regsvr32.
• Conexiones salientes a dominios con TLD raros o registrados recientemente.

No es una única señal la que marca la diferencia, sino la combinación: si al menos dos o tres de estos elementos ocurren juntos, es muy probable que se trate de esta cadena maliciosa específica.

Cómo defenderse en la práctica

Para reducir los riesgos, es fundamental actuar a múltiples niveles. Algunas medidas concretas:

• Fortalecer las reglas de ASR en Microsoft Defender, especialmente aquellas que impiden la ejecución de archivos descargados de la web y el lanzamiento de procesos sospechosos desde aplicaciones de Office o navegadores.
• Supervisar certificados : Informar automáticamente sobre binarios firmados por entidades no reconocidas o con certificados que solo son válidos por unos pocos días.
• Integre fuentes de inteligencia sobre amenazas para identificar conexiones con dominios recientemente registrados o de baja reputación.

Educar a los usuarios : explicarles que deben descargar Teams únicamente desde el portal oficial de Microsoft y tener cuidado con los anuncios patrocinados en los motores de búsqueda.

Por último, es esencial contar con un manual de respuesta a incidentes listo: aislar el punto final, recopilar evidencia (hashes, claves de registro, tareas programadas), verificar las conexiones de red y rotar inmediatamente las credenciales comprometidas.

Porque es un ataque diferente al habitual.

Lo que hace que esta campaña sea particularmente peligrosa no es tanto su complejidad técnica, sino su velocidad . Los atacantes han aprendido a automatizar el ciclo de vida: crean un certificado, registran un dominio, distribuyen el archivo, recopilan datos y lo modifican todo de nuevo, a menudo en cuestión de horas.

Para los defensores, esto significa que ya no pueden depender únicamente de la información sobre amenazas retrasada. Necesitan telemetría en tiempo real , reglas de comportamiento y capacidades de respuesta automatizadas. Es una carrera contrarreloj, y la velocidad del SOC se convierte en el factor decisivo.

Antonio Piazzolla


Lista degli articoli