El grupo Rhysida utiliza anuncios falsos de Microsoft Teams en Bing para lanzar ataques de ransomware

Investigadores de seguridad han detectado una nueva campaña de distribución de malware llevada a cabo por el grupo de ransomware Rhysida, que aprovecha anuncios falsos en el motor de búsqueda Bing para engañar a las víctimas. Según expertos de la empresa Expel, la operación comenzó en junio de 2025 y sigue activa hasta la fecha.

En esta campaña, los operadores de Rhysida crearon páginas falsas que imitaban los sitios oficiales de descarga de Microsoft Teams, una de las plataformas de colaboración más utilizadas a nivel mundial. Luego, publicaron anuncios en Bing que dirigían a los usuarios a estas páginas fraudulentas, donde se descargaban archivos maliciosos.

Las víctimas que descargaron los supuestos instaladores recibieron malware como "OysterLoader" y "Latrodectus", diseñados para desplegar ransomware, puertas traseras y ladrones de información. Estos programas permiten a los atacantes cifrar datos, robar credenciales y mantener el control remoto de los sistemas infectados.

El grupo Rhysida opera bajo un modelo de negocio conocido como RaaS (Ransomware-as-a-Service), ofreciendo sus herramientas a otros ciberdelincuentes a cambio de una comisión. Entre sus objetivos anteriores se encuentran aeropuertos, bibliotecas y distritos escolares en Estados Unidos.

Los expertos en ciberseguridad advierten a los usuarios sobre los riesgos de descargar software desde enlaces patrocinados y recomiendan hacerlo siempre desde los sitios oficiales para evitar convertirse en víctimas de este tipo de ataques.