Al menos dos agencias federales en los EE. UU. fueron víctimas de una “campaña cibernética generalizada” que involucró el uso de software legítimo de administración y monitoreo remoto (RMM) para perpetuar una estafa de phishing.
“Específicamente, los ciberdelincuentes enviaron correos electrónicos de phishing que condujeron a la descarga de software RMM legítimo, ScreenConnect (ahora ConnectWise Control) y AnyDesk, que los actores utilizaron en una estafa de reembolso para robar dinero de las cuentas bancarias de las víctimas”, dijeron las autoridades de ciberseguridad de EE. UU. dicho.
El aviso conjunto proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
Los ataques, que tuvieron lugar a mediados de junio y mediados de septiembre de 2022, tienen motivaciones financieras, aunque los actores de amenazas podrían armar el acceso no autorizado para realizar una amplia gama de actividades, incluida la venta de ese acceso a otros equipos de piratería.
El uso de software remoto por parte de grupos delictivos ha sido durante mucho tiempo una preocupación, ya que ofrece una vía eficaz para establecer el acceso de usuarios locales en un host sin necesidad de elevar los privilegios u obtener un punto de apoyo por otros medios.
En un caso, los actores de amenazas enviaron un correo electrónico de phishing que contenía un número de teléfono a la dirección de correo electrónico del gobierno de un empleado, lo que llevó al individuo a un dominio malicioso. Los correos electrónicos, dijo CISA, son parte de ataques de ingeniería social con el tema de la mesa de ayuda orquestados por los actores de amenazas desde al menos junio de 2022 dirigidos a empleados federales.
Las misivas relacionadas con la suscripción contienen un dominio falso de “primera etapa” o participan en una táctica conocida como phishing de devolución de llamada para atraer a los destinatarios a llamar a un número de teléfono controlado por el actor para visitar el mismo dominio.
Independientemente del enfoque utilizado, el dominio malicioso desencadena la descarga de un binario que luego se conecta a un dominio de segunda etapa para recuperar el software RMM en forma de ejecutables portátiles.
El objetivo final es aprovechar el software RMM para iniciar una estafa de reembolso. Esto se logra instruyendo a las víctimas para que inicien sesión en sus cuentas bancarias, después de lo cual los actores modifican el resumen de la cuenta bancaria para que parezca que a la persona se le reembolsó por error una cantidad excesiva de dinero.
En el paso final, los estafadores instan a los destinatarios del correo electrónico a reembolsar el monto adicional, defraudándolos de sus fondos.
CISA atribuyó la actividad a una “gran operación troyana” revelado por la firma de ciberseguridad Silent Push en octubre de 2022. Dicho esto, otros actores, incluido Luna Moth (también conocido como Silent Ransom), han adoptado métodos similares de entrega de ataques orientados al teléfono.
“Esta campaña destaca la amenaza de la actividad cibernética maliciosa asociada con el software RMM legítimo: después de obtener acceso a la red de destino a través de phishing u otras técnicas, se sabe que los actores cibernéticos maliciosos, desde delincuentes cibernéticos hasta APT patrocinados por el estado nacional, usan software RMM legítimo como una puerta trasera para la persistencia y/o comando y control (C2)”, advirtieron las agencias.
About the Author
