Los ciberdelincuentes están explotando cada vez más el software de monitorización y gestión remota (RMM) para obtener acceso no autorizado a los sistemas corporativos, con una nueva campaña de ataque sofisticada que demuestra cómo las herramientas de TI legítimas pueden convertirse en armas poderosas en las manos equivocadas.
Esta amenaza emergente aprovecha la confianza inherente colocada en soluciones RMM, transformando el software administrativo esencial en conductos para el robo de datos y la implementación potencial de ransomware.
La última campaña de ataque emplea una estrategia de doble RMM que mejora significativamente la persistencia y el control del atacante.
Al desplegar a Atera y Splashtop Streamer simultáneamente, los actores de amenaza aseguran el acceso continuo, incluso si los equipos de seguridad descubren y eliminan una herramienta RMM.
Esta redundancia representa una evolución preocupante en la metodología de ataque, donde los cibercriminales priorizan el mantenimiento del acceso a largo plazo sobre el sigilo.
El ataque comienza con un correo electrónico de phishing cuidadosamente elaborado enviado desde cuentas comprometidas de Microsoft 365 a listas de destinatarios no reveladas.
Correo electrónico malicioso con archivos adjuntos maliciosos (fuente – Securencia sublime)
Estos mensajes se hacen pasar por notificaciones de Microsoft OneDrive, completa con iconos de documentos de palabras de aspecto auténtico y pies de página de privacidad para establecer la legitimidad.
Los correos electrónicos contienen enlaces maliciosos alojados en la red de entrega de contenido de Discord (cdn.discordapp.com), explotando la reputación de la plataforma como un servicio confiable para evitar los filtros de seguridad iniciales.
Investigadores de seguridad sublime identificado Esta campaña a través de su motor de detección con IA, que marcó múltiples indicadores sospechosos, incluida la manipulación de la extensión de archivos y las tácticas de suplente de onedrive.
Los investigadores señalaron que el ataque representa una escalada significativa en el abuso de RMM, particularmente debido a su enfoque múltiple y componentes sofisticados de ingeniería social.
Mecanismo de infección y implementación de carga útil
El mecanismo de infección del ataque demuestra técnicas de evasión avanzadas a través de la manipulación de la extensión de archivo.
Las víctimas reciben enlaces a lo que parece ser un documento .docx, pero en realidad descarga un archivo llamado Scan_Document_XLSX.docx.msi.
ATera (Fuente – Sublime Security)
Esta técnica de doble extensión explota las expectativas del usuario mientras oculta la naturaleza ejecutable de la carga útil.
Tras la ejecución, el paquete MSI malicioso inicia un proceso de instalación de varias etapas. El agente ATera se instala a través de un proceso atendido que requiere la interacción del usuario, creando diálogos de instalación visibles que parecen legítimos.
Simultáneamente, se producen dos instalaciones silenciosas en segundo plano: Splashtop Streamer y Microsoft .NET Runtime 8.
Estos componentes se descargan directamente de sus respectivas fuentes legítimas, generando tráfico de red que parece completamente benigno a los sistemas de monitoreo de seguridad.
La sofisticación del ataque radica en su uso de infraestructura legítima para la entrega de carga útil. Al descargar componentes RMM de sitios web oficiales de proveedores en lugar de dominios sospechosos, el malware evade sistemas de detección basados en la firma y herramientas de monitoreo de red que generalmente marcan descargas de fuentes maliciosas conocidas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
