Alerta: Ataque de phishing utiliza credenciales robadas para acceso persistente
Publicado el
Ataque de phishing con software RMM
Recientes investigaciones han puesto de manifiesto una nueva campaña de ciberataques que utiliza credenciales robadas para desplegar software legítimo de Remote Monitoring and Management (RMM), permitiendo un acceso remoto persistente a los sistemas comprometidos. Este enfoque se desmarca de los métodos tradicionales, ya que los atacantes no utilizan virus personalizados, sino que aprovechan herramientas de TI que los administradores consideran confiables.
Según los expertos de KnowBe4 Threat Labs, este tipo de ataque se caracteriza por el uso de un "esqueleto clave" que permite a los delincuentes convertir software legítimo de RMM en una puerta trasera persistente. El ataque se desarrolla en dos fases: primero, los atacantes envían notificaciones de invitación falsas para robar las credenciales de las víctimas; posteriormente, utilizan estas credenciales sustraídas para implementar las herramientas de RMM necesarias para establecer un acceso continuo.
### Fase de engaño
Los correos electrónicos fraudulentos se presentan como invitaciones de una plataforma legítima llamada Greenvelope, diseñados para engañar a los destinatarios y hacer que hagan clic en un enlace de phishing. Este enlace está diseñado para recopilar información de inicio de sesión para plataformas como Microsoft Outlook, Yahoo! y AOL.com. Una vez recopilada esta información, el ataque avanza a la siguiente fase.
### Implementación del acceso remoto
En esta fase, el atacante se registra en LogMeIn con el correo electrónico comprometido para generar tokens de acceso de RMM, que se utilizan en un ataque posterior a través de un ejecutable denominado GreenVelopeCard.exe. Este archivo, firmado con un certificado válido, contiene una configuración JSON que permite la instalación silenciosa de LogMeIn Resolve (anteriormente GoTo Resolve) y la conexión a una URL controlada por el atacante sin que la víctima lo perciba.
Con el software RMM instalado, los atacantes pueden manipular el acceso remoto para cambiar la configuración del servicio, de modo que funcione con acceso ilimitado en sistemas Windows. Además, establecen tareas programadas ocultas que permiten que el programa de RMM se inicie automáticamente, incluso si el usuario decide cerrarlo manualmente.
### Recomendaciones de seguridad
Para mitigar este tipo de amenazas, se aconseja a las organizaciones que supervisen la instalación no autorizada de software RMM y los patrones de uso relacionados. La detección temprana de estos software puede ayudar a prevenir accesos no deseados y proteger la integridad de los sistemas.
Este tipo de ataques subraya la importancia de la formación en ciberseguridad y la autenticación de múltiples factores para proteger las credenciales de acceso y garantizar un entorno más seguro frente a las crecientes tácticas de los cibercriminales.