Investigadores de ciberseguridad han revelado detalles de una nueva campaña de ataque de doble vector que aprovecha credenciales robadas para implementar software legítimo de Monitoreo y Gestión Remota (RMM). El objetivo es establecer acceso remoto persistente a los hosts comprometidos.
Según los investigadores de KnowBe4 Threat Labs, en lugar de desplegar virus personalizados, los atacantes están eludiendo los perímetros de seguridad al “armar” herramientas de TI necesarias en las que confían los administradores. Al robar una “llave maestra” del sistema, convierten software RMM legítimo en una puerta trasera persistente.
Flujo del Ataque en Dos Fases
El ataque se desarrolla en dos fases distintas:
Fase 1: Robo de Credenciales Mediante Phishing La primera fase del ataque consiste en la sustracción de credenciales a través de correos electrónicos de phishing. Los mensajes se disfrazan como invitaciones de una plataforma legítima llamada Greenvelope. El objetivo es engañar a los destinatarios para que hagan clic en una URL maliciosa diseñada para recolectar sus credenciales de inicio de sesión de Microsoft Outlook, Yahoo! o AOL.com.
Fase 2: Despliegue de RMM y Persistencia Una vez obtenidas las credenciales, el ataque pasa a la siguiente fase. El actor de la amenaza utiliza la cuenta de correo electrónico comprometida para registrarse en LogMeIn, generando tokens de acceso RMM. Estos tokens se despliegan en un ataque posterior a través de un ejecutable llamado “GreenVelopeCard.exe”.
Este binario, firmado con un certificado válido, contiene una configuración JSON que actúa como conducto para instalar silenciosamente LogMeIn Resolve (anteriormente GoTo Resolve) y conectarse a una URL controlada por el atacante sin el conocimiento de la víctima.
Mecanismos de Persistencia
Con la herramienta RMM ahora instalada, los atacantes aprovechan el acceso remoto para modificar la configuración de su servicio, permitiendo que se ejecute con acceso sin restricciones en Windows. Para asegurar la persistencia, el ataque también establece tareas programadas ocultas que relanzan automáticamente el programa RMM incluso si el usuario lo termina manualmente.
Recomendaciones de Mitigación
Para contrarrestar esta amenaza, se recomienda a las organizaciones monitorear las instalaciones no autorizadas de RMM y los patrones de uso inusuales. Esto incluye revisar logs de instalación de software y de uso de servicios de acceso remoto.
Comfidentia
Qué haríamos en estos casos?
Ciberseguridad Defensiva | Protección y Respuesta a Amenazas - Comfidentia
Servicios de ciberseguridad defensiva: forensia digital, desarrollo de software seguro, gestión de vulnerabilidades, threat intelligence y respuesta a incidentes. Protege tus redes y servidores con nuestras soluciones de seguridad defensiva.
Análisis Forense
Descubre la verdad oculta en los datos con nuestro servicio deAnálisis Forense. Recopilamos, examinamos y analizamos a fondo cada rastro digital para revelar la causa raíz de cualquier incidente. Nuestro equipo de expertos sigue los pasos clave: Identificación, Adquisición, Análisis y Presentación de evidencia sólida. No pierdas más tiempo buscando respuestas, confía en nuestra experiencia para revelar la evidencia que necesitas.
Gestión de Vulnerabilidades
¡No arriesgues la seguridad de tu empresa! Con nuestras soluciones deGestión de Vulnerabilidades, no solo obtendrás un simple escaneo o evaluación de riesgos, sino una evaluación completa junto con tu equipo. Nuestro enfoque va más allá al proponer soluciones reales y duraderas, adaptadas a las capacidades y necesidades específicas de tu negocio y sistemas.
Protege tu Marca de Amenazas Cibernéticas
Protege tu negocio hoy conBrand Intelligence! Nuestro servicio especializado te proporciona información valiosa sobre posibles actores maliciosos que intentan suplantar tu marca o dominio. Al detectar estas amenazas, puedes tomar medidas rápidas y efectivas para salvaguardar la reputación de tu empresa. No permitas que los ciberdelincuentes dañen tu imagen, confía en Brand Intelligence para mantener tu negocio seguro en todo momento.
Desarrollo de Software Seguro
Con nuestras herramientas y habilidades especializadas, puedes crear aplicaciones y programas a prueba de vulnerabilidades de principio a fin. Nuestro enfoque se basa en un modelo sólido que incluye diseño seguro, proceso de desarrollo, gestión de vulnerabilidades e seguridad de la información. Esto asegura que tu software esté protegido en cada etapa del proceso. Fuente: Ver más en Comfidentia
Otras páginas relacionadas: