Los investigadores de ciberseguridad han detallado una nueva campaña de doble vector que aprovecha las credenciales robadas para implementar software legítimo de administración y monitoreo remoto (RMM) para obtener acceso remoto persistente a los hosts comprometidos.
«En lugar de implementar virus personalizados, los atacantes están eludiendo los límites de seguridad utilizando como arma las herramientas de TI necesarias en las que confían los administradores», dijeron Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke, investigadores de KnowBe4 Threat Labs. «Convierte el software legítimo de gestión y monitoreo remoto (RMM) en una puerta trasera persistente al robar la ‘llave maestra’ del sistema».
Este ataque se desarrolla en dos oleadas diferentes. Los atacantes utilizan notificaciones de invitación falsas para robar las credenciales de las víctimas, que luego utilizan para implementar herramientas RMM para establecer un acceso permanente.
El correo electrónico falso parece ser una invitación de una plataforma legítima llamada Greenvelope y está diseñado para engañar a los destinatarios para que hagan clic en una URL de phishing diseñada para recopilar información de inicio de sesión para Microsoft Outlook, Yahoo! y AOL.com. Una vez obtenida esta información, el ataque pasa a la siguiente fase.
Específicamente, el atacante utiliza un correo electrónico comprometido para registrarse en LogMeIn y generar un token de acceso RMM. Este token se implementa en ataques posteriores a través de un ejecutable llamado ‘GreenVelopeCard.exe’ para establecer un acceso remoto persistente al sistema víctima.
El binario, firmado con un certificado válido, contiene una configuración JSON que instala silenciosamente LogMeIn Resolve (anteriormente conocido como GoTo Resolve) y sirve como conducto para conectarse a una URL controlada por el atacante sin el conocimiento de la víctima.
Una vez implementada la herramienta RMM, los atacantes pueden utilizar el acceso remoto como arma para modificar la configuración del servicio y permitir su ejecución en Windows con acceso sin restricciones. El ataque también establece una tarea programada oculta que inicia automáticamente el programa RMM incluso si el usuario lo finaliza manualmente.
Para combatir esta amenaza, se alienta a las organizaciones a monitorear los patrones de uso e instalación de RMM no autorizados.
Source link
