El uso de herramientas legítimas de monitorización y gestión remota (RMM, por sus siglas en inglés) como primera fase en ataques a través de correo electrónico ha experimentado un notable aumento, según los investigadores de amenazas de Proofpoint, empresa especializada en ciberseguridad y cumplimiento normativo.
Paralelamente, se ha observado una disminución en el uso de grandes cargadores y botnets por parte de los intermediarios de acceso inicial, un cambio que podría estar relacionado con el impacto de la Operación Endgame. Este operativo, llevado a cabo en 2024, logró desmantelar algunas de las principales familias de malware, como IcedID, Trickbot y Bumblebee.
Los ciberdelincuentes han comenzado a aprovechar herramientas RMM como ScreenConnect y Atera, originalmente diseñadas para permitir a los administradores de TI gestionar sistemas de forma remota. Sin embargo, su uso malintencionado tiene como objetivo obtener accesos no autorizados, robar datos y desplegar ransomware, convirtiéndolas en un nuevo vector de ataque en el panorama de las amenazas cibernéticas.
Los ciberdelincuentes pueden abusar de estas herramientas RMM de muchas maneras. A continuación, Proofpoint detalla algunos de los grupos de atacantes observados:
- TA2725 es una amenaza rastreada por Proofpoint desde marzo de 2022, conocida por utilizar malware bancario brasileño, como Mispadu, Astaroth e históricamente Grandoreiro, además de phishing de credenciales para atacar a organizaciones principalmente en Brasil, México y España, empleando los idiomas español y portugués. En campañas recientes incluían señuelos de facturas de energía con URLs que conducían a ejecutables comprimidos para instalar ScreenConnect como carga útil.
- TA583 es uno de los conjuntos de ciberdelincuencia más destacados que distribuyen ScreenConnect. Es muy activo y lleva a cabo múltiples campañas cada día, siendo la mayoría de ellas con herramientas RMM. Una vez que compromete los sistemas, los objetivos quedan fuera de la visibilidad de los expertos en ciberseguridad, pero puede haber toma de control de cuentas, robo de credenciales, exfiltración de datos y, posiblemente, intermediación de acceso inicial para otros ciberdelincuentes.
- ZPHP y UAC-0050 utilizan NetSupport como carga útil de primera etapa a través del correo electrónico. La inyección ZPHP es un simple objeto de script que se añade al código HTML de un sitio web comprometido. A través de un archivo zip codificado con un archivo JavaScript se cargará NetSupport RAT en el host, aunque el zip puede contener a veces un ejecutable que carga Lumma Stealer. Mientras, UAC-0050 suele dirigirse a organizaciones con troyanos de acceso remoto. Normalmente este atacante ha entregado malware, incluyendo Remcos y Lumma Stealer, pero anteriormente ha utilizado herramientas RMM como Litemanager y Remote Manipulator System.
- Bluetrait es una herramienta RMM en campañas de bajo volumen, desde un puñado hasta menos de 500 mensajes, en francés o inglés con señuelos temáticos de pago. Esta amenaza contenía principalmente archivos PDF con URLs que conducen a un adjunto MSI comprimido y, en menor medida, archivos MSI directamente en el email.
Los ciberdelincuentes que hacen entrega de ataques orientados al teléfono (TOAD) también utilizan con frecuencia herramientas RMM. En estos casos, el atacante enviará un email con un número de teléfono en el cuerpo del texto o en un PDF adjunto, normalmente incluyendo señuelos sobre facturas. De esta manera, se indica al destinatario que llame al número de teléfono para impugnar la factura, pero el número de teléfono pertenece al ciberdelincuente, quien en última instancia dirigirá al destinatario para que instale un RMM u otro malware.
“Esta investigación pone de relieve cómo los atacantes se están adaptando a los movimientos de las fuerzas de seguridad, aprovechando el software de confianza para eludir la detección y lograr comprometer los sistemas”, explican los investigadores de Proofpoint. “El uso de RMM en la actividad maliciosa es común y prevemos que pueda aumentar. Dado que a menudo se utilizan como piezas legítimas de software, sus usuarios podrían resultar menos sospechosos”.
Ante el incremento de campañas de malware con herramientas de RMM legítimas, Proofpoint recomienda restringir la descarga e instalación de toda herramienta RMM no aprobada ni confirmada por los administradores de TI de una organización; disponer de detecciones de red, incluido el uso del conjunto de reglas de amenazas emergentes; utilizar protección de endpoints para alertar de cualquier actividad de la red a servidores RMM; y formar a usuarios para que puedan identificar y reportar actividades sospechosas a sus equipos de seguridad.
