Microsoft reveló el jueves que revocó más de 200 certificados utilizados por un actor de amenazas al que rastrea como Vanilla Tempest para firmar de modo fraudulenta archivos binarios maliciosos en ataques de ransomware.
Los certificados se “utilizaron en archivos de configuración falsos de Teams para entregar la puerta trasera Oyster y, en última instancia, implementar el ransomware Rhysida”, dijo el equipo de Microsoft Threat Intelligence en una publicación compartida en X.
El cíclope tecnológico dijo que interrumpió la actividad a principios de este mes posteriormente de que fuera detectada a fines de septiembre de 2025. Por otra parte de revocar los certificados, sus soluciones de seguridad se actualizaron para marcar las firmas asociadas con los archivos de configuración falsos, la puerta trasera Oyster y el ransomware Rhysida.
Vanilla Tempest (anteriormente Storm-0832) es el nombre que se le da a un actor de amenazas con motivación financiera, además llamado Vice Society y Vice Spider, que se estima que está activo desde al menos julio de 2022 y que ha entregado varias cepas de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida a lo extenso de los abriles.
Oyster (además conocido como Broomstick y CleanUpLoader), por otro banda, es una puerta trasera que a menudo se distribuye a través de instaladores troyanizados para software popular como Google Chrome y Microsoft Teams utilizando sitios web falsos con los que los usuarios se topan cuando buscan programas en Google y Bing.
“En esta campaña, Vanilla Tempest utilizó archivos MSTeamsSetup.exe falsos alojados en dominios maliciosos que imitan a Microsoft Teams, por ejemplo, Teams-download(.)buzz, Teams-install(.)run o Teams-download(.)top”, dijo Microsoft. “Es probable que los usuarios sean dirigidos a sitios de descarga maliciosos mediante envenenamiento por optimización de motores de búsqueda (SEO)”.
Para firmar estos instaladores y otras herramientas posteriores al compromiso, se dice que el actor de amenazas utilizó Trusted Signing, así como los servicios de firma de código SSL(.)com, DigiCert y GlobalSign.
Los detalles de la campaña fueron revelados por primera vez por Blackpoint Cyber el mes pasado, destacando cómo los usuarios que buscaban Teams en cadena eran redirigidos a páginas de descarga falsas, donde se les ofrecía un MSTeamsSetup.exe taimado en ocasión del cliente legal.
“Esta actividad pone de relieve el continuo extralimitación del envenenamiento de SEO y anuncios maliciosos para ofrecer puertas traseras de productos bajo la apariencia de software confiable”, dijo la compañía. “Los actores de amenazas están explotando la confianza de los usuarios en los resultados de búsqueda y en las marcas conocidas para obtener paso auténtico”.
Para mitigar estos riesgos, se recomienda descargar software sólo de fuentes verificadas y evitar hacer clic en enlaces sospechosos que aparecen a través de anuncios en motores de búsqueda.
