Nueva campaña de phishing que imita las páginas de acceso de Zoom, Teams y Google Meet
- Seguridad
Los atacantes aprovechan la urgencia por unirse a una reunión de Zoom, Microsoft Teams o Google Meet para inducir a la instalación de supuestas actualizaciones obligatorias. El objetivo final es obtener acceso administrativo permanente mediante herramientas legítimas de control remoto.
Los investigadores de Threat Labs de Netskope han identificado varias campañas que reproducen fielmente el flujo habitual de una invitación a una videollamada corporativa. El usuario recibe un enlace para unirse a una reunión de Zoom, Microsoft Teams o Google Meet y, al acceder, se encuentra con una página de inicio prácticamente idéntica a la original, incluso con listas de participantes ya conectados. Todo está diseñado para provocar una reacción inmediata y minimizar las sospechas.
En el momento de unirse, aparece un aviso indicando que la aplicación está desactualizada o no es compatible. Para continuar, se solicita instalar una “actualización de software obligatoria”. La víctima es redirigida a dominios typosquatted, como zoom-meet.us, desde donde descarga el supuesto parche. La apariencia de corrección técnica urgente aumenta la probabilidad de que el usuario ignore cualquier alerta de seguridad.
El archivo descargado no es malware tradicional, sino agentes RMM legítimos y firmados digitalmente, como Datto RMM, LogMeIn o ScreenConnect. Una vez ejecutados, proporcionan a los atacantes acceso administrativo completo al equipo comprometido. Al tratarse de software autorizado en muchos entornos, su uso permite eludir controles basados en firmas y mezclarse con el tráfico normal sin levantar sospechas.
Acceso persistente y riesgo de compromiso masivo
Con privilegios de administrador, los ciberdelincuentes pueden transferir archivos, abrir shells remotos, observar la pantalla o moverse lateralmente por la red. El objetivo no es una intrusión puntual, sino establecer una plataforma persistente para la postexplotación. Estas herramientas, diseñadas para desplegar software de forma masiva, pueden utilizarse para distribuir nuevas cargas en todo el entorno, incluido ransomware a gran escala.
“Al obtener acceso administrativo, los piratas informáticos eluden los filtros de seguridad tradicionales y se instalan de forma permanente para llevar a cabo acciones graves, que van desde la recopilación de datos hasta la difusión masiva de ransomware”, explica Jan Michael Alcantara, Threat Research Engineer de Netskope Threat Labs.
