Los ciberdelincuentes están explotando cada vez más herramientas legítimas de monitorización y gestión remota (RMM) para establecer un acceso persistente a sistemas comprometidos a través de sofisticadas campañas de phishing.
La investigación conjunta realizada por Red Canary Intelligence y ZScaler Amenazer Hunters ha identificado múltiples campañas maliciosas que utilizan soluciones íticas (también conocidas como Comodo), PDQ, SimpleHelp y Atera RMM como vectores de ataque.
El atractivo de las herramientas RMM para los adversarios radica en su legitimidad inherente en entornos empresariales, donde los profesionales de TI implementan rutinariamente estas soluciones para acceso remoto, monitoreo del sistema y gestión de máquinas.
Esta apariencia de autenticidad permite a los actores de amenaza operar sigilosamente sin desencadenar alertas de seguridad inmediatas, ya que sus actividades a menudo se mezclan sin problemas con las tareas administrativas legítimas.
Analistas de Red Canary identificado Cuatro señuelos principales de ingeniería social que han demostrado ser exitosos en convencer a los objetivos para descargar herramientas RMM maliciosas en sus sistemas.
Estos incluyen actualizaciones falsas del navegador, invitaciones de reuniones, invitaciones de fiesta y formularios gubernamentales fraudulentos.
Los investigadores también descubrieron una tendencia preocupante en la que los adversarios implementan dos herramientas RMM en rápida sucesión, estableciendo efectivamente múltiples métodos de acceso persistente para garantizar un control continuo sobre los entornos comprometidos.
Las campañas demuestran mecanismos de orientación sofisticados, con actores de amenaza que se centran específicamente en los usuarios de escritorio de Windows mientras filtran dispositivos móviles.
La infraestructura de ataque incluye servidores de comando y control que recopilan datos de huellas digitales del navegador, indicadores de geolocalización y métricas de participación para optimizar la efectividad de la campaña.
Mecanismos de infección avanzados y entrega de carga útil
La sofisticación técnica de estos ataques se hace evidente a través de sus mecanismos de infección de varias capas.
Actualización falsa de Google Chrome (fuente – Red Canary)
En las campañas de actualización del navegador falso, los adversarios inyectan JavaScript malicioso en sitios web comprometidos que crean ataques de superposición de pantalla completa.
El código inyectado utiliza valores máximos de índice Z (2147483647) para garantizar que el indicador de actualización falso aparezca por encima de todos los demás elementos de página, atrapando efectivamente a los usuarios dentro de la interfaz maliciosa.
La carga útil de JavaScript realiza una creación dinámica de iframe, cargando contenido de dominios sospechosos, incluidos Chromus (.) UCI y MyPanelsuper (.) En línea mientras mantiene la redundancia a través de múltiples URL de altura.
JavaScript inyectado (fuente – Red Canary)
Este enfoque garantiza la continuidad de la campaña, incluso cuando los dominios individuales están bloqueados por los controles de seguridad.
El código malicioso también implementa las capacidades de exfiltración de datos, enviando datos de huellas dactilares del navegador, indicadores de geolocalización y hash de seguimiento únicos para los servidores de comando y control.
Una vez que los usuarios interactúan con estos señuelos, sin saberlo, descargan instaladores RMM legítimos que han sido armados a través de inquilinos controlados por adversario.
Por ejemplo, las instalaciones de Itarian se ejecutan a través de URL que contienen identificadores de inquilinos redactados, lo que permite que los archivos MSI descargados contacten dominios adicionales y ejecuten cargas útiles secundarias.
La aplicación Itarian, que funciona como RMMService.exe, se ha observado lanzar procesos maliciosos como Dicomportable.exe y establecer modificaciones de registro para la persistencia.
La sofisticación se extiende a la implementación de la carga útil, donde los actores de amenaza utilizan técnicas como DLL Sidelading a través de binarios firmados legítimos.
En casos documentados, Dicomportable.exe Sideleged Malicious Qt5core.dll utilizando software firmado por Apowersoft Ltd, implementando posteriormente Hijackloader para actividades de compromiso adicionales.
Este enfoque aprovecha los mecanismos de confianza de firma de código para evitar los controles de seguridad mientras entrega robadores de información y herramientas de acceso remoto adicionales.
Ejemplo de página de phishing de IRS (fuente – Red Canary)
La detección de estas campañas requiere el monitoreo de las herramientas RMM que ejecuta procesos infantiles desde directorios inusuales, particularmente cuando estas herramientas no generalmente están autorizadas dentro del entorno.
Las organizaciones deben mantener listas de permiso estrictos para implementaciones legítimas de RMM e implementar controles de red para identificar dominios recién registrados sospechosos que alojan estas campañas maliciosas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
