Uso legítimo, pero intención maliciosa: Las herramientas de monitorización y gestión remota en ataques por correo electrónico

Al mismo tiempo ha disminuido la utilización de grandes cargadores y botnets por parte de los intermediarios de acceso inicial. Este cambio puede deberse a la Operación Endgame, que desmanteló importantes familias de malware como IcedID, Trickbot y Bumblebee en 2024.

Las intenciones maliciosas de los ciberdelincuentes con herramientas RMM como ScreenConnect y Atera, dirigidas a administradores de TI para gestionar de forma remota flotas de ordenadores, no son otras que obtener accesos, robar datos y desplegar ransomware.

Los ciberdelincuentes pueden abusar de estas herramientas RMM de muchas maneras. A continuación, Proofpoint detalla algunos de los grupos de atacantes observados:

·       TA2725 es una amenaza rastreada por Proofpoint desde marzo de 2022, conocida por utilizar malware bancario brasileño, como Mispadu, Astaroth e históricamente Grandoreiro, además de phishing de credenciales para atacar a organizaciones principalmente en Brasil, México y España, empleando los idiomas español y portugués. En campañas recientes incluían señuelos de facturas de energía con URLs que conducían a ejecutables comprimidos para instalar ScreenConnect como carga útil.

·       TA583 es uno de los conjuntos de ciberdelincuencia más destacados que distribuyen ScreenConnect. Es muy activo y lleva a cabo múltiples campañas cada día, siendo la mayoría de ellas con herramientas RMM. Una vez que compromete los sistemas, los objetivos quedan fuera de la visibilidad de los expertos en ciberseguridad, pero puede haber toma de control de cuentas, robo de credenciales, exfiltración de datos y, posiblemente, intermediación de acceso inicial para otros ciberdelincuentes.

·       ZPHP y UAC-0050 utilizan NetSupport como carga útil de primera etapa a través del correo electrónico. La inyección ZPHP es un simple objeto de script que se añade al código HTML de un sitio web comprometido. A través de un archivo zip codificado con un archivo JavaScript se cargará NetSupport RAT en el host, aunque el zip puede contener a veces un ejecutable que carga Lumma Stealer. Mientras, UAC-0050 suele dirigirse a organizaciones con troyanos de acceso remoto. Normalmente este atacante ha entregado malware, incluyendo Remcos y Lumma Stealer, pero anteriormente ha utilizado herramientas RMM como Litemanager y Remote Manipulator System.

·       Bluetrait es una herramienta RMM en campañas de bajo volumen, desde un puñado hasta menos de 500 mensajes, en francés o inglés con señuelos temáticos de pago. Esta amenaza contenía principalmente archivos PDF con URLs que conducen a un adjunto MSI comprimido y, en menor medida, archivos MSI directamente en el email.

·       Los ciberdelincuentes que hacen entrega de ataques orientados al teléfono (TOAD) también utilizan con frecuencia herramientas RMM. En estos casos, el atacante enviará un email con un número de teléfono en el cuerpo del texto o en un PDF adjunto, normalmente incluyendo señuelos sobre facturas. De esta manera, se indica al destinatario que llame al número de teléfono para impugnar la factura, pero el número de teléfono pertenece al ciberdelincuente, quien en última instancia dirigirá al destinatario para que instale un RMM u otro malware.

“Esta investigación pone de relieve cómo los atacantes se están adaptando a los movimientos de las fuerzas de seguridad, aprovechando el software de confianza para eludir la detección y lograr comprometer los sistemas”, explican los investigadores de Proofpoint. “El uso de RMM en la actividad maliciosa es común y prevemos que pueda aumentar. Dado que a menudo se utilizan como piezas legítimas de software, sus usuarios podrían resultar menos sospechosos”.

Ante el incremento de campañas de malware con herramientas de RMM legítimas, Proofpoint recomienda restringir la descarga e instalación de toda herramienta RMM no aprobada ni confirmada por los administradores de TI de una organización; disponer de detecciones de red, incluido el uso del conjunto de reglas de amenazas emergentes; utilizar protección de endpoints para alertar de cualquier actividad de la red a servidores RMM; y formar a usuarios para que puedan identificar y reportar actividades sospechosas a sus equipos de seguridad.