Alerta Crítica: Instaladores Falsos de Microsoft Teams Distribuyen Malware Oyster

Una sofisticada campaña de malvertising está comprometiendo sistemas corporativos mediante instaladores falsos de Microsoft Teams que distribuyen el malware backdoor Oyster. Esta amenaza, detectada recientemente por equipos de seguridad, representa un riesgo significativo para organizaciones que dependen de herramientas de colaboración en línea.

¿Qué está Ocurriendo?

El 25 de septiembre de 2025, el equipo de Detección y Respuesta Gestionada de Conscia identificó una campaña de malvertising sofisticada que intentaba comprometer endpoints empresariales mediante la distribución de un instalador falso de Microsoft Teams. Los atacantes están utilizando una combinación letal de técnicas para engañar incluso a usuarios experimentados.

El Método de Ataque

Los actores de amenaza están abusando del envenenamiento SEO y el malvertising para atraer a usuarios a descargar un instalador falso de Microsoft Teams. Las víctimas que buscan Teams en línea son redirigidas a anuncios fraudulentos y páginas de descarga falsas. Cuando buscan "descargar Microsoft Teams" en motores de búsqueda, encuentran resultados envenenados que parecen legítimos pero conducen a sitios maliciosos.

El Malware Oyster: Una Amenaza Persistente

El malware Oyster, también conocido como Broomstick y CleanUpLoader, es un backdoor que apareció por primera vez a mediados de 2023 y desde entonces ha sido vinculado a múltiples campañas. El malware proporciona a los atacantes acceso remoto a dispositivos infectados, permitiéndoles ejecutar comandos y desplegar cargas útiles adicionales.

Capacidades del Malware

Está programado para recopilar información del sistema, robar credenciales, ejecutar comandos, descargar más malware y mantenerse activo creando tareas programadas. Esta combinación de capacidades lo convierte en una amenaza particularmente peligrosa para entornos empresariales.

Persistencia y Evasión

La persistencia se establece creando una tarea programada que se ejecuta cada tres minutos, asegurando que el malware permanezca activo incluso después de reinicios del sistema. Además, Oyster está asociado con el grupo de amenaza ITG23 vinculado a Rusia, también conocido como Periwinkle Tempest, Wizard Spider o Gold Blackburn, un grupo conocido por distribuir el malware TrickBot y otras actividades cibercriminales.

La Cadena de Infección Paso a Paso

1. Envenenamiento de Resultados de Búsqueda

Los atacantes manipulan los resultados de los motores de búsqueda para que sus anuncios maliciosos aparezcan en las primeras posiciones cuando alguien busca "Microsoft Teams download" o términos similares.

2. Página de Descarga Falsificada

Las víctimas son redirigidas a sitios web que imitan perfectamente la página oficial de Microsoft Teams, con diseños, logotipos y certificados SSL válidos que generan una falsa sensación de seguridad.

3. Instalador Troyanizado

El archivo descargado es un instalador aparentemente legítimo que incluye código malicioso oculto. Los atacantes incluso utilizan certificados de firma de código abusados para evitar las advertencias de seguridad de Windows.

4. Despliegue del Backdoor

Una vez ejecutado, el instalador despliega el malware Oyster en el sistema, estableciendo persistencia mediante tareas programadas y comenzando la comunicación con servidores de comando y control.

5. Acceso Remoto y Exfiltración

El malware es capaz de establecer acceso backdoor persistente, realizar exfiltración de datos, desplegar cargas útiles adicionales y potencialmente facilitar el despliegue de ransomware.

Técnicas de Evasión Avanzadas

Abuso de Certificados de Firma de Código

Los atacantes han conseguido certificados de firma de código legítimos (posiblemente robados o comprados en el mercado negro) para firmar sus instaladores maliciosos, lo que les permite evadir las advertencias de Windows SmartScreen y otras protecciones basadas en reputación.

Living Off the Land

El malware utiliza herramientas legítimas del sistema operativo (binarios LOLBin) para realizar sus actividades maliciosas, dificultando su detección por soluciones antimalware tradicionales que se basan en firmas.

Comunicación C2 Encriptada

Las comunicaciones con los servidores de comando y control están cifradas y utilizan protocolos que imitan tráfico legítimo, haciéndolas difíciles de detectar mediante análisis de red convencional.

Evolución de la Campaña

Este no es un ataque aislado. El malware Oyster fue visto por primera vez en septiembre de 2023 por investigadores de IBM, entregado a través de un loader llamado Oyster Installer que se disfrazaba como instalador de navegador. La campaña ha evolucionado continuamente, adaptándose a las defensas y ampliando su repertorio de aplicaciones falsificadas.

Campañas anteriores han utilizado instaladores troyanizados de:

Navegadores populares (Chrome, Firefox)

Herramientas de administración remota (PuTTY, WinSCP)

Software de productividad

Aplicaciones de videoconferencia

Indicadores de Compromiso

Señales en el Sistema

Tareas programadas sospechosas: Tareas que se ejecutan cada 3 minutos sin explicación aparente

Conexiones de red inusuales: Comunicaciones con dominios desconocidos o direcciones IP sospechosas

Procesos anómalos: Ejecutables en ubicaciones inusuales del sistema

Actividad de red elevada: Tráfico de red inusual, especialmente durante horas no laborales

Señales Durante la Instalación

URLs no oficiales: El enlace de descarga no proviene de microsoft.com

Solicitudes de permisos excesivos: El instalador pide más permisos de los necesarios

Comportamiento inusual: La instalación tarda más de lo esperado o muestra actividad extraña

Falta de verificación: Windows no puede verificar el editor o muestra advertencias

Medidas de Protección Inmediatas

Para Usuarios Finales

1. Descargar solo de fuentes oficiales

Siempre acceder directamente a microsoft.com/teams

Nunca hacer clic en anuncios de resultados de búsqueda

Verificar que la URL es exactamente microsoft.com

2. Verificar instaladores

Comprobar la firma digital del archivo antes de ejecutarlo

Verificar el tamaño del archivo con las especificaciones oficiales

Usar checksums SHA-256 si están disponibles

3. Usar portales corporativos

Preferir el portal interno de software corporativo

Consultar con TI antes de descargar aplicaciones de trabajo

Reportar inmediatamente cualquier comportamiento sospechoso

Para Equipos de TI y Seguridad

1. Implementar controles de aplicación

Utilizar AppLocker o políticas similares para restringir ejecución de software no aprobado

Implementar whitelisting de aplicaciones en entornos críticos

Controlar instalaciones mediante herramientas de gestión de endpoints

2. Monitoreo y detección

Configurar alertas para tareas programadas que se crean inesperadamente

Monitorear conexiones salientes a dominios recién registrados

Implementar EDR (Endpoint Detection and Response) con capacidades de análisis comportamental

3. Filtrado de red

Bloquear dominios maliciosos conocidos asociados con Oyster

Implementar filtrado DNS para prevenir resolución de dominios maliciosos

Analizar tráfico saliente en busca de patrones de C2

4. Educación y concientización

Realizar campañas de concientización sobre esta amenaza específica

Entrenar a usuarios en identificación de sitios falsificados

Establecer canales claros para reportar actividades sospechosas

Respuesta ante Posible Infección

Pasos Inmediatos

Si sospechas que has descargado un instalador falso:

NO ejecutar el archivo si aún no lo has hecho

Desconectar del red inmediatamente si ya lo ejecutaste

Notificar al equipo de seguridad sin demora

No intentar "limpiarlo" tú mismo - el malware puede detectar intentos de remoción

Para el Equipo de Respuesta a Incidentes

1. Contención

Aislar el endpoint afectado de la red

Identificar otros sistemas potencialmente comprometidos

Bloquear comunicaciones con servidores C2 conocidos

2. Análisis forense

Capturar memoria RAM antes de apagar el sistema

Recolectar logs de sistema, red y aplicaciones

Identificar la línea temporal del compromiso

3. Erradicación

Eliminar el malware y todos sus componentes

Remover tareas programadas maliciosas

Limpiar entradas de registro modificadas

4. Recuperación

Restaurar desde backups limpios si es posible

Cambiar todas las credenciales potencialmente comprometidas

Monitorear intensivamente durante al menos 30 días

5. Lecciones aprendidas

Documentar el incidente completamente

Identificar gaps en controles de seguridad

Actualizar políticas y procedimientos según sea necesario

Protección a Largo Plazo

Estrategia de Defensa en Profundidad

Capa 1: Prevención

Implementar autenticación multifactor en todos los servicios

Usar gestión de dispositivos móviles (MDM) para controlar instalaciones

Mantener sistemas operativos y aplicaciones actualizadas

Capa 2: Detección

Desplegar soluciones EDR con capacidades de detección de anomalías

Implementar SIEM para correlación de eventos de seguridad

Utilizar threat intelligence feeds actualizados

Capa 3: Respuesta

Establecer playbooks de respuesta a incidentes específicos

Realizar ejercicios de simulación regularmente

Mantener un equipo de respuesta entrenado y disponible

Capa 4: Recuperación

Mantener backups offline y probados regularmente

Documentar sistemas críticos y dependencias

Establecer objetivos de tiempo de recuperación (RTO) realistas

Recomendaciones Específicas para Microsoft Teams

Para Administradores

1. Gestión centralizada

Desplegar Teams mediante Intune o herramientas corporativas

Deshabilitar instalaciones locales de usuarios no administradores

Utilizar políticas de grupo para controlar actualizaciones

2. Configuración segura

Implementar políticas de Teams para controlar funcionalidades

Configurar prevención de pérdida de datos (DLP)

Habilitar auditoría completa de actividades

3. Monitoreo continuo

Revisar logs de Teams regularmente

Monitorear intentos de instalación no autorizados

Configurar alertas para actividades anómalas

Para Usuarios

Regla de oro: Si necesitas instalar Microsoft Teams:

Contacta a tu departamento de TI

Utiliza el portal de software corporativo

Si debes descargarlo, ve ÚNICAMENTE a microsoft.com/teams

Nunca hagas clic en anuncios o resultados patrocinados en búsquedas

El Panorama Más Amplio

Esta campaña es parte de una tendencia preocupante donde los atacantes se enfocan en herramientas de colaboración y productividad ampliamente utilizadas. La pandemia y el aumento del trabajo remoto han convertido aplicaciones como Teams, Zoom y Slack en objetivos prioritarios.

Factores que Facilitan estos Ataques

Confianza en herramientas conocidas: Los usuarios bajan la guardia cuando descargan software reconocido, sin verificar cuidadosamente la fuente.

Búsquedas apuradas: En momentos de necesidad urgente, los usuarios tienden a hacer clic en el primer resultado sin verificar su legitimidad.

Sofisticación visual: Los sitios falsos son prácticamente indistinguibles de los legítimos, engañando incluso a usuarios experimentados.

Cadena de suministro digital: La complejidad de las cadenas de distribución de software crea múltiples puntos de vulnerabilidad.

Conclusión

La campaña de malware Oyster mediante instaladores falsos de Microsoft Teams representa una amenaza seria y en evolución para organizaciones de todos los tamaños. La combinación de técnicas avanzadas de malvertising, envenenamiento SEO y evasión de defensas tradicionales hace que estos ataques sean particularmente efectivos.

La defensa efectiva requiere un enfoque multifacético que combine tecnología, procesos y educación. Ninguna herramienta de seguridad por sí sola puede detener estas amenazas; se necesita una estrategia coordinada que involucre a toda la organización.

Recordatorio crítico: La mejor defensa contra estos ataques es la combinación de controles técnicos robustos y usuarios educados y vigilantes. Cada empleado es tanto un potencial punto de entrada como una línea de defensa crucial.