Correos falsos de Teams y Zoom instalan virus en tu computadora

Durante febrero de 2026, el equipo de Microsoft Defender detectó una sofisticada campaña de phishing que logra evadir controles de seguridad al utilizar firmas digitales válidas. El malware imita aplicaciones legítimas como Microsoft Teams, Zoom, Google Meet y Adobe Reader, empleando un certificado de tipo Extended Validation a nombre de TrustConnect Software PTY LTD. Gracias a este mecanismo, Windows trata los archivos infectados con menor sospecha.

La estafa opera mediante dos patrones. En el primero, la víctima recibe un PDF con una imagen borrosa y un botón rojo que redirige a un sitio falso de Adobe para descargar una supuesta actualización.

El segundo utiliza correos que simulan invitaciones a reuniones o notificaciones financieras con enlaces que advierten sobre una "versión desactualizada" para presionar al usuario. Los archivos resultantes, con nombres como msteams.exe, zoomworkspace.clientsetup.exe o adobereader.exe, instalan herramientas de gestión remota (RMM) como ScreenConnect, Tactical RMM y Mesh Agent para tomar el control silencioso del equipo.

Una vez infiltrado, el software se copia en la carpeta de Archivos de Programa y se registra como servicio de Windows para ejecutarse automáticamente, estableciendo conexión con el servidor trustconnectsoftware[.]com. Para asegurar la persistencia, los atacantes instalan varias de estas herramientas en paralelo.

Ante esta amenaza, Microsoft ha emitido las siguientes recomendaciones técnicas: “bloquear mediante políticas de aplicaciones el uso de herramientas RMM no autorizadas”, “activar la protección en la nube de Microsoft Defender” y “habilitar las funciones de Safe Links y Safe Attachments en Microsoft Defender para Office 365”. Además, sugieren “buscar activamente en los entornos corporativos instalaciones de software firmado por TrustConnect Software PTY LTD”, señalando que este es el indicador más claro de compromiso.