- Huntress lanzó una campaña de phishing que aprovechó herramientas RMM legítimas (Tflux, UltraVNC, Splashtop, ScreenConnect) para ganar persistencia y filtrar datos comerciales.
- Los atacantes atraen a las víctimas con correos electrónicos falsos de contratos de servicios de “Soluciones de red” y luego explotan un controlador vulnerable (HwRwDrv.x64) para aumentar los privilegios.
- Las defensas, que indican evidencia de la infraestructura y los objetivos brasileños, implican una rigurosa auditoría RMM, un inventario de recursos y revisiones de registros en la base de datos LOLRMM.
Los ciberdelincuentes están abusando plenamente de programas legítimos, incluidos Tiflux, UltraVNC, Splashtop y ScreenConnect, para tomar el control de las computadoras comerciales, establecer persistencia y filtrar constantemente datos confidenciales. Esto es según la investigadora de seguridad Huntress, quien detalló la nueva campaña en un artículo de investigación en profundidad.
El ataque comienza con un correo electrónico de phishing cuidadosamente elaborado, generalmente con el tema de un “acuerdo de servicio actualizado de Network Solutions”. El correo electrónico afirma que Network Solutions ha revisado su declaración de precios y servicios y dirige al destinatario a una página donde puede revisar y aceptar los nuevos términos.
A las víctimas que hacen clic en un enlace determinado primero se les pide que completen un captcha, probablemente para filtrar bots y análisis automatizados. A continuación, se les pide que descarguen un “documento seguro” que es un instalador de TIFlux, una herramienta comercial legítima (aunque marginal) de supervisión y gestión remota (RMM).
Ataque desde finales de febrero
Además de Tflux, las víctimas también recibieron otras herramientas, incluido 7zip, una versión anterior de la herramienta de acceso remoto UltraVNC y un controlador vulnerable llamado HwRwDrv.x64. Esto último parece clave aquí, ya que permite una posible escalada de privilegios.
Luego, los atacantes usan Tflux para realizar splashtop o screenconnect (o, en algunos casos, ambos), antes de continuar con el objetivo principal: enviar capturas de pantalla en vivo, ejecutar utilidades del sistema, establecer persistencia y filtrar datos.
Huntress vio un ataque en estado salvaje a finales de febrero de este año. El informe no menciona grupos o nombres específicos de actores de amenazas, pero sí dice que TIFlux es una herramienta brasileña y que la infraestructura del actor de amenazas utiliza un dominio de servidor que termina en un dominio de nivel superior con código de país brasileño.
En otras palabras, todo apunta a un atacante brasileño, apuntando a Brasil.
Las empresas pueden protegerse contra el abuso de RMM estableciendo un inventario integral de activos de todas las aplicaciones instaladas, implementando controles estrictos de las aplicaciones, auditando periódicamente los RMM autorizados y haciendo referencias cruzadas con bases de datos como LOLRMM y revisando registros de actividad de RMM para encontrar herramientas de las que los actores de amenazas abusan con frecuencia.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed.
