El actor de la amenaza Storm-0324 distribuye malware a través de los chats de Microsoft Teams

Un actor de amenazas con motivación financiera conocido como Storm-0324 está distribuyendo malware a través de chats de Microsoft Teams, según una nueva publicación de blog de Microsoft. 

Se sabe que el actor obtiene acceso inicial a las redes utilizando vectores de infección basados ​​en correo electrónico y luego transfiere el acceso a otros actores de amenazas, como grupos de ransomware.

En caso de que te lo hayas perdido, en julio de 2023, se observó que Storm-0324 usaba una herramienta de código abierto para enviar señuelos de phishing a través de los chats de Microsoft Teams. 

Los señuelos suelen contener enlaces maliciosos que, al hacer clic en ellos, descargan malware en el ordenador de la víctima. Luego, el malware se puede utilizar para robar datos confidenciales, instalar ransomware o realizar otras acciones. 

En este caso, parece legítimo a primera vista, pero al hacer clic en él, conduce a archivos alojados en SharePoint que contienen malware. 

"Storm-0324 ha utilizado muchos formatos de archivo para iniciar JavaScript malicioso, incluidos documentos de Microsoft Office, Windows Script File (WSF) y VBScript, entre otros", se lee en el informe. 

El grupo Storm-0324 ha estado activo desde al menos 2016 y ha estado vinculado a varios ataques de alto perfil, incluidos algunos troyanos bancarios, así como los ransomware Sage y GandCrab.

Microsoft también ha publicado los resultados de su investigación sobre el actor de amenazas chino. Tormenta-0558. El actor aprovechó un problema de validación de día cero en GetAccessTokenForResourceAPI, que desde entonces ha sido parcheado.