En México, se ha detectado una nueva modalidad de ataque cibernético que emplea un troyano de acceso remoto (RAT) modular y un marco de proxy, aprovechando el entorno de ejecución de JavaScript Deno.
Este ataque se ha utilizado para obtener acceso a sistemas a través de la suplantación de Microsoft Teams, lo que ha facilitado la descarga de un archivo malicioso.
La estrategia empleada por los atacantes consistió en un bombardeo de correos electrónicos y la utilización de técnicas de ingeniería social a través de Microsoft Teams para ganar credibilidad y confundir a las víctimas. El malware, identificado como un sistema modular no tradicional basado en Deno, se compone de cuatro scripts: app. js, back. js, helper.
js y webui. js. La detección de este malware ocurrió durante actividades de reconocimiento post-explotación en lugar de durante la ejecución inicial.
Para mitigar este tipo de amenazas, se recomienda a las organizaciones monitorear la ejecución de entornos de scripting como Deno, alertar sobre banderas de permisos sospechosos y implementar el monitoreo de servicios HTTP locales de bucle invertido.
Además, es fundamental restringir la capacidad de ejecutar entornos no firmados o no aprobados para reducir la superficie de ataque. Al detectar un ataque, los respondedores deben aislar los hosts afectados e investigar el origen de la suplantación de Teams.
El análisis debe centrarse en la línea de procesos Deno y cualquier servicio local vinculado a los puertos de bucle invertido 10021 o 10022. Revisar los registros de auditoría unificada de Microsoft 365 para eventos de suplantación de Teams es crucial para determinar el alcance de la campaña de ingeniería social.
Este tipo de ataques pone de manifiesto la importancia de la vigilancia y la preparación en el ámbito de la.
Etiquetas: Tecnología, Seguridad Cibernética, Microsoft Teams, Deno, RAT, Fraudes con IA, Tecnología · Deepfakes y fraudes con IA
About the Author
