Se ha detectado una campaña de phishing activa que ataca múltiples vectores y aprovecha herramientas legítimas de Monitoreo y Administración Remota (RMM) para establecer acceso remoto persistente en equipos comprometidos.
¿Cuál es la amenaza?
La amenaza consiste en una campaña de phishing a gran escala que instala herramientas de administración remota legítimas, firmadas por el proveedor, para obtener acceso sigiloso y persistente a los entornos de las víctimas. La campaña se dirige a múltiples vectores de acceso inicial y ha comprometido a más de 80 organizaciones de diversos sectores, principalmente en Estados Unidos. Los atacantes implementan software personalizado de SimpleHelp 5.0.1 y SecureConnect Remote Monitoring and Management (RMM), a menudo haciéndose pasar por instalaciones iniciadas por el usuario, lo que les permite eludir los controles de seguridad tradicionales.
¿Por qué es digno de mención?
Esta campaña destaca por su resistencia y sofisticación operativa. Los atacantes implementan dos herramientas RMM independientes simultáneamente, creando un acceso redundante que persiste incluso si los defensores corrigen un canal. La intrusión inicial se basa en un ataque de phishing con suplantación de identidad gubernamental que imita a la SSA, incitando a las víctimas a descargar un estado de cuenta de beneficios falso. Una vez abierto, el malware se instala como un servicio de Windows, establece persistencia en Modo Seguro, realiza comprobaciones automáticas de seguridad cada 67 segundos y busca la presencia del operador cada 23 segundos. Si bien no existe una atribución formal, la técnica empleada coincide con la de un agente de acceso inicial con fines lucrativos o un precursor de ransomware dirigido a organizaciones occidentales.
¿Cuál es la exposición o el riesgo?
Esta campaña supone un alto riesgo, ya que los atacantes pueden obtener el control sigiloso y a largo plazo de los sistemas de las víctimas utilizando herramientas RMM legítimas y firmadas por el proveedor, en lugar de malware tradicional. Una vez que los atacantes se establecen, roban credenciales, se mueven lateralmente, implementan cargas útiles adicionales, incluido ransomware, extraen datos confidenciales o venden el acceso a otros actores maliciosos. Dado que la campaña ya ha afectado a más de 80 organizaciones en diversos sectores, principalmente en Estados Unidos, pone de manifiesto un riesgo sistémico: cualquier entorno que permita o confíe en el software RMM es vulnerable al acceso remoto encubierto, especialmente cuando se puede engañar a los usuarios para que lo instalen ellos mismos mediante ingeniería social.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
Restringir e inventariar todas las herramientas RMM, permitiendo únicamente soluciones aprobadas de proveedores de confianza con justificación comercial documentada.
Implementar la verificación de la lista de aplicaciones permitidas y la firma de código para bloquear las instancias no autorizadas o autohospedadas de SimpleHelp y ScreenConnect.
Aplique el principio de mínimo privilegio y exija la aprobación del administrador (o acceso justo a tiempo) para la instalación y el uso de cualquier software de acceso remoto.
Refuerce la seguridad del correo electrónico (filtros antiphishing, reescritura de URL, aislamiento de archivos adjuntos) y bloquee o marque los correos electrónicos que intenten imitar a la SSA o que suplanten la identidad del gobierno.
Supervise la aparición de servicios de Windows nuevos o inusuales, especialmente aquellos que permiten la persistencia en el Modo seguro o que invocan los binarios de SimpleHelp/ScreenConnect.
Recopilar y analizar la telemetría de los puntos finales para detectar balizas de red frecuentes, conexiones RMM duales y sesiones remotas anómalas.
Impartir formación a los usuarios sobre estafas de soporte remoto y correos electrónicos fraudulentos de "declaración de la SSA" o "verificación de beneficios".
Establecer protocolos de respuesta ante incidentes de abuso de RMM, que incluyan la contención rápida, el restablecimiento de credenciales y la revisión forense de las sesiones remotas.
