Uso legítimo, pero intención maliciosa: Las herramientas de monitorización y gestión remota en ataques por correo electrónico

El uso de herramientas legítimas de monitorización y gestión remotas (RMM, por sus siglas en inglés) como carga útil de primera etapa en ataques por correo electrónico ha aumentado de manera significativa, según los investigadores de amenazas de la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint.

Al mismo tiempo ha disminuido la utilización de grandes cargadores y botnets por parte de los intermediarios de acceso inicial. Este cambio puede deberse a la Operación Endgame, que desmanteló importantes familias de malware como IcedID, Trickbot y Bumblebee en 2024.

Las intenciones maliciosas de los ciberdelincuentes con herramientas RMM como ScreenConnect y Atera, dirigidas a administradores de TI para gestionar de forma remota flotas de ordenadores, no son otras que obtener accesos, robar datos y desplegar ransomware.

Los ciberdelincuentes pueden abusar de estas herramientas RMM de muchas maneras. A continuación, Proofpoint detalla algunos de los grupos de atacantes observados:

·       TA2725 es una amenaza rastreada por Proofpoint desde marzo de 2022, conocida por utilizar malware bancario brasileño, como Mispadu, Astaroth e históricamente Grandoreiro, además de phishing de credenciales para atacar a organizaciones principalmente en Brasil, México y España, empleando los idiomas español y portugués. En campañas recientes incluían señuelos de facturas de energía con URLs que conducían a ejecutables comprimidos para instalar ScreenConnect como carga útil.

·       TA583 es uno de los conjuntos de ciberdelincuencia más destacados que distribuyen ScreenConnect. Es muy activo y lleva a cabo múltiples campañas cada día, siendo la mayoría de ellas con herramientas RMM. Una vez que compromete los sistemas, los objetivos quedan fuera de la visibilidad de los expertos en ciberseguridad, pero puede haber toma de control de cuentas, robo de credenciales, exfiltración de datos y, posiblemente, intermediación de acceso inicial para otros ciberdelincuentes.

·       ZPHP y UAC-0050 utilizan NetSupport como carga útil de primera etapa a través del correo electrónico. La inyección ZPHP es un simple objeto de script que se añade al código HTML de un sitio web comprometido. A través de un archivo zip codificado con un archivo JavaScript se cargará NetSupport RAT en el host, aunque el zip puede contener a veces un ejecutable que carga Lumma Stealer. Mientras, UAC-0050 suele dirigirse a organizaciones con troyanos de acceso remoto. Normalmente este atacante ha entregado malware, incluyendo Remcos y Lumma Stealer, pero anteriormente ha utilizado herramientas RMM como Litemanager y Remote Manipulator System.

·       Bluetrait es una herramienta RMM en campañas de bajo volumen, desde un puñado hasta menos de 500 mensajes, en francés o inglés con señuelos temáticos de pago. Esta amenaza contenía principalmente archivos PDF con URLs que conducen a un adjunto MSI comprimido y, en menor medida, archivos MSI directamente en el email.

·       Los ciberdelincuentes que hacen entrega de ataques orientados al teléfono (TOAD) también utilizan con frecuencia herramientas RMM. En estos casos, el atacante enviará un email con un número de teléfono en el cuerpo del texto o en un PDF adjunto, normalmente incluyendo señuelos sobre facturas. De esta manera, se indica al destinatario que llame al número de teléfono para impugnar la factura, pero el número de teléfono pertenece al ciberdelincuente, quien en última instancia dirigirá al destinatario para que instale un RMM u otro malware.

“Esta investigación pone de relieve cómo los atacantes se están adaptando a los movimientos de las fuerzas de seguridad, aprovechando el software de confianza para eludir la detección y lograr comprometer los sistemas”, explican los investigadores de Proofpoint. “El uso de RMM en la actividad maliciosa es común y prevemos que pueda aumentar. Dado que a menudo se utilizan como piezas legítimas de software, sus usuarios podrían resultar menos sospechosos”.

 

Ante el incremento de campañas de malware con herramientas de RMM legítimas, Proofpoint recomienda restringir la descarga e instalación de toda herramienta RMM no aprobada ni confirmada por los administradores de TI de una organización; disponer de detecciones de red, incluido el uso del conjunto de reglas de amenazas emergentes; utilizar protección de endpoints para alertar de cualquier actividad de la red a servidores RMM; y formar a usuarios para que puedan identificar y reportar actividades sospechosas a sus equipos de seguridad.

La facturación de las empresas catalanas dedicadas a la industria 4.0 crece un 29,3% en cuatro años, hasta los 7.200 millones de euros

Las empresas catalanas dedicadas a la industria 4.0 facturan de forma agregada 7.197 millones de euros, un 29,3% más que en 2021, según se desprende de un estudio de ACCIÓ -la agencia para la competitividad de la empresa del Departamento de Empresa y Trabajo-. De acuerdo con este informe, el volumen de negocio de la industria 4.0 equivaldría ya al 2,6% del PIB catalán.

Cataluña gestiona 55 planes de sostenibilidad turística con más de 200 millones de euros de inversión en todo el territorio

El consejero de Empresa y Trabajo, Miquel Sàmper, y el ministro de Industria y Turismo, Jordi Hereu, han abierto hoy una jornada interna para explicar el grado de ejecución de los 55 planes de sostenibilidad turística en destino que actualmente están en marcha en las comarcas catalanas. La sesión, celebrada en La Pedrera, también contó con la participación la directora general de Turismo de la Generalidad de Cataluña, Cristina Lagé, así como de la secretaria de Estado de Turismo, Rosario Sánchez, y de la directora general de Políticas Turísticas, Ana Muñoz, por parte del Ministerio.

Eurofins completa con éxito la adquisición de las operaciones de análisis clínicos de Synlab en España

Eurofins Scientific (EUFI.PA), líder científico global en pruebas bioanalíticas, con fuerte presencia y rápido desarrollo en el segmento de las pruebas de diagnóstico clínico y moleculares altamente especializadas, y productos de diagnóstico in vitro, completa con éxito la adquisición de las operaciones de análisis clínicos de Synlab en España que se ha hecho efectiva con fecha 31 de marzo de 2025.

Palo para Apple: Francia multa con 150 millones de euros a la compañía por abuso de posición dominante en la publicidad de apps móviles

La Autoridad de la Competencia de Francia ha multado a Apple con 150 millones de euros "por abusar de su posición dominante" en el sector para la distribución de aplicaciones móviles en dispositivos iOS y iPadOS entre abril de 2021 y julio de 2023 en relación con la implementación del sistema de Transparencia de Seguimiento de Aplicaciones (ATT) de la multinacional.

DES2025 reconocerá las empresas que están marcando el camino de la nueva era digital

DES – Digital Enterprise Show 2025 sigue calentando motores en lo que será el gran encuentro europeo dedicado a la inteligencia artificial y otras tecnologías exponenciales, del 10 al 12 de junio en Málaga. Al respecto, el encuentro acogerá una nueva edición de los European Digital Mindset Awards, los galardones que reconocen aquellas empresas y administraciones que han logrado estimular su competitividad a partir de la digitalización. Siguiendo con esta máxima, las distinciones pondrán en valor las iniciativas tecnológicas que han revolucionado modelos de negocio y que han impulsado la reducción de la huella de carbono, el perfeccionamiento de la experiencia de cliente y el servicio.