Intrusiones en Software de Colaboración: La Amenaza de los Faux Installateurs
La creciente utilización de plataformas de comunicación como Teams y Zoom ha amplificado el riesgo de ciberataques. Microsoft ha alertado sobre un tipo de intrusión que inicia con correos electrónicos de phishing, una táctica común pero efectiva. En este artículo, exploraremos más a fondo cómo funcionan estas intrusiones y qué pasos podemos tomar para protegernos.
¿Cómo Inician las Intrusiones?
Las invasiones comienzan de manera clásica mediante correos electrónicos de phishing que imitan prácticas habituales en el entorno empresarial. Estos mensajes pueden incluir enlaces a documentos, invitaciones a reuniones o notificaciones urgentes que requieren acción inmediata. Todo ello hace que el usuario se sienta compelido a hacer clic en enlaces que llevan a páginas fraudulentas.
El Papel del Software Falso
Los atacantes engañan a los usuarios para que descarguen un supuesto software que necesitan para acceder a contenido importante. Lo alarmante es que este software está firmado digitalmente con un certificado de Validación Extendida, lo que le otorga una apariencia de legitimidad. Esta técnica reduce la desconfianza de los usuarios al momento de la ejecución, facilitando la instalación del malware.
La Instalación del Malware
Una vez que el programa se ejecuta, utiliza comandos PowerShell codificados para instalar herramientas de administración remota que permiten a los hackers tomar control del sistema. Microsoft identifica varias aplicaciones como ScreenConnect, Tactical RMM y MeshAgent, herramientas legítimas que son redirigidas para facilitar el acceso a los atacantes.
Anclaje en el Sistema
Los componentes del malware no solo se instalan, sino que buscan anclarse en el sistema. Esto se logra colocando copias de estos archivos en directorios como C:Program Files, lo que refuerza la ilusión de que se trata de un software legítimo. Además, se crean servicios de Windows y entradas de inicio para asegurar que el acceso remoto se reinicie automáticamente, incluso después de un reinicio del sistema.
Redundancia en los Ataques
Un aspecto preocupante es que los atacantes no dependen de una sola herramienta. Microsoft señala que es común que varios programas de administración remota (RMM, por sus siglas en inglés) sean desplegados durante una misma invasión. Esta redundancia permite a los atacantes mantener el acceso, incluso si uno de los programas es detectado y eliminado.
Medidas de Protección
Para protegernos de este tipo de ataques, es crucial poner en práctica varias medidas:
Verificación de Fuentes: Siempre verifica la autenticidad de los correos electrónicos, especialmente aquellos que solicitan acciones urgentes o descargas de archivos.
Seguridad en el Software: Mantén actualizado el software de seguridad y utiliza herramientas de detección de malware que puedan identificar estas amenazas.
Educación y Capacitación: Forma a los empleados sobre los riesgos del phishing y las prácticas seguras de navegación.
Revisión de Permisos: Regularmente revisa los permisos de software instalado en los dispositivos, eliminando cualquier programa sospechoso.
Conclusión
El avance de tecnologías de comunicación ha traído consigo nuevos desafíos en el ámbito de la ciberseguridad. La vigilancia y la educación son nuestras mejores defensas contra intrusiones como las provocadas por faux installateurs. Mantente informado y proactivo para proteger tanto tus datos como los de tu organización.
About the Author
