microsoft el jueves revelado que revocó más de 200 certificados utilizados por un actor de amenazas al que rastrea como Vanilla Tempest para firmar de manera fraudulenta archivos binarios maliciosos en ataques de ransomware.
Los certificados se «utilizaron en archivos de configuración falsos de Teams para entregar la puerta trasera Oyster y, en última instancia, implementar el ransomware Rhysida», dijo el equipo de Microsoft Threat Intelligence en una publicación compartida en X.
El gigante tecnológico dijo que interrumpió la actividad a principios de este mes después de que fuera detectada a fines de septiembre de 2025. Además de revocar los certificados, sus soluciones de seguridad se actualizaron para marcar las firmas asociadas con los archivos de configuración falsos, la puerta trasera Oyster y el ransomware Rhysida.
Tempestad de vainilla (anteriormente Storm-0832) es el nombre que se le da a un actor de amenazas con motivación financiera, también llamado Vice Society y Vice Spider, que se estima que está activo desde al menos julio de 2022 y que ha entregado varias cepas de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida a lo largo de los años.
Oyster (también conocido como Broomstick y CleanUpLoader), por otro lado, es un Puerta trasera que a menudo se distribuye a través de instaladores troyanizados de software popular como Google Chrome y Microsoft Teams mediante sitios web falsos con los que los usuarios se topan cuando buscan programas en Google y Bing.
«En esta campaña, Vanilla Tempest utilizó archivos MSTeamsSetup.exe falsos alojados en dominios maliciosos que imitaban a Microsoft Teams, por ejemplo, teams-download[.]zumbido, instalación de equipos[.]ejecutar o descargar equipos[.]top», dijo Microsoft. «Es probable que los usuarios sean dirigidos a sitios de descarga maliciosos mediante envenenamiento por optimización de motores de búsqueda (SEO).
Para firmar estos instaladores y otras herramientas posteriores al compromiso, se dice que el actor de amenazas utilizó Firma confiableasí como SSL[.]com, DigiCert y servicios de firma de códigos GlobalSign.
Los detalles de la campaña fueron revelado por primera vez por Blackpoint Cyber el mes pasado, destacando cómo los usuarios que buscaban Teams en línea eran redirigidos a páginas de descarga falsas, donde se les ofrecía un MSTeamsSetup.exe malicioso en lugar del cliente legítimo.
«Esta actividad pone de relieve el continuo abuso del envenenamiento de SEO y anuncios maliciosos para ofrecer puertas traseras de productos bajo la apariencia de software confiable», dijo la compañía. «Los actores de amenazas están explotando la confianza de los usuarios en los resultados de búsqueda y en las marcas conocidas para obtener acceso inicial».
Para mitigar estos riesgos, se recomienda descargar software sólo de fuentes verificadas y evitar hacer clic en enlaces sospechosos que aparecen a través de anuncios en motores de búsqueda.
Fuente