- Rhysida falsificó anuncios de Microsoft Teams en Bing para entregar malware a través de páginas de descarga falsas
- Las víctimas recibieron OysterLoader y Latrodectus, que implementan ransomware, puertas traseras y ladrones de información.
- El grupo opera con el modelo RaaS; Los objetivos anteriores incluyen aeropuertos, bibliotecas y distritos escolares de EE. UU.
Los investigadores de seguridad han encontrado una vez más anuncios envenenados en redes publicitarias populares, falsificando a las principales marcas para ofrecer todo tipo de cosas desagradables.
Los expertos de Expel detectaron una nueva malware Campaña de distribución realizada por el grupo de ransomware Rhysida que aparentemente comenzó en junio de 2025 y aún está en curso al momento de esta publicación.
Para la campaña, los agentes de Rhysida crearon páginas de destino para imitar los sitios de descarga de microsoft Equipos, uno de los más populares del mundo colaboración en línea plataformas. Luego, configuraron nuevos anuncios en el motor de búsqueda Bing de Microsoft para promocionar estas páginas.
Abusar de archivos .LNK
Víctimas que buscarían Microsoft Teams a través de Bing probablemente vería un anuncio en la parte superior de la página de resultados de su motor de búsqueda y, dada la buena reputación de Microsoft y Bing, probablemente confiaría en ellos lo suficiente como para hacer clic en los enlaces. Luego, serían redirigidos a una página que es aparentemente idéntica a la página de descarga de Teams real, pero con una gran diferencia: esta implementa dos piezas de malware: OysterLoader y Latrodectus.
Tanto Latrodectus como OysterLoader son, como sugiere el nombre de este último, un cargador que entrega diferente malware de etapa dos dependiendo de las necesidades del atacante en un momento dado. Esto puede incluir ladrones de información, puertas traseras, varios troyanos de acceso remoto y, más notablemente, ransomware.
De hecho, el grupo Rhysida es un famoso ransomware operador. Funciona según un principio RaaS: desarrolla y mantiene el cifrador, mientras sus afiliados violan las redes de sus objetivos e implementan el malware, para obtener una parte de las ganancias.
Hubo varias infracciones notables atribuidas a la pandilla Rhysida, incluido el ataque de 2023 a la Biblioteca Británica (cuando se tomaron aproximadamente 600 GB de archivos), el ataque de 2024 al Aeropuerto Internacional de Seattle-Tacoma, así como múltiples ataques a organizaciones gubernamentales y educativas (la ciudad de Columbus, múltiples distritos e instituciones escolares de EE. UU., y más).
A través de El Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes sigue a TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
