Los investigadores de ciberseguridad advierten sobre una nueva campaña que se dirige a usuarios de habla portuguesa en Brasil con versiones de prueba del software comercial de monitoreo y gestión remota (RMM) desde enero de 2025.
“El mensaje de spam utiliza el sistema de facturas electrónicas brasileñas, NF-E, como un atractivo para atraer a los usuarios a hacer clic en hipervínculos y acceder a contenido malicioso alojado en Dropbox”, el investigador de Cisco Talos Guilherme Venere dicho en un informe del jueves.
Las cadenas de ataque comienzan con correos electrónicos de spam especialmente diseñados que afirman que se originan en instituciones financieras o operadores de teléfonos celulares, advirtiendo sobre facturas vencidas o pagos sobresalientes para engañar a los usuarios para que haga clic en enlaces falsos de Dropbox que apuntan a un instalador binario para la herramienta RMM.
Dos herramientas RMM notables observadas son Acceso remoto RMM Nable Nable y PDQ Connectotorgando a los atacantes la capacidad de leer y escribir archivos al sistema de archivos remoto.
En algunos casos, los actores de amenaza usan las capacidades remotas de estos agentes para descargar e instalar un software RMM adicional como ScreenConnect después del compromiso inicial.
Con base en los receptores comunes observados, se ha encontrado que la campaña se dirige principalmente a ejecutivos de nivel C y una cuenta de recursos financieros y humanos en varias industrias, incluidas algunas instituciones educativas y gubernamentales.
También se ha evaluado con gran confianza que la actividad es el trabajo de un corredor de acceso inicial (IAB) que está abusando de los períodos de prueba gratuitos asociados con varios programas RMM para obtener acceso no autorizado. Desde entonces, Nable ha tomado medidas para deshabilitar las cuentas de prueba afectadas.
“El abuso de los adversarios de las herramientas comerciales de RMM ha aumentado constantemente en los últimos años”, dijo Venere. “Estas herramientas son de interés para los actores de amenaza porque generalmente están firmadas digitalmente por entidades reconocidas y son una puerta trasera totalmente destacada”.
“También tienen poco o ningún costo en software o infraestructura, ya que todo esto generalmente es proporcionado por la aplicación de la versión de prueba”.
El desarrollo se produce en medio de la aparición de varias campañas de phishing que están diseñadas para dejar de lado las defensas modernas y propagar una amplia gama de familias de malware, o recolectar las credenciales de las víctimas,
- Una campaña realizada por un grupo de delitos cibernéticos sudamericanos llamado Hive0148 para distribuir el troyano de banca Grandoreiro a los usuarios en usuarios de México y Costa Rica.
- Una campaña que emplea un servicio legítimo de intercambio de archivos llamado Getshared para evitar las protecciones de seguridad y dirigir a los usuarios a enlaces alojando malware
- Una campaña que usa señuelos con temas de pedidos de ventas Para entregar el malware Formbook mediante un documento de Microsoft Word que sea susceptible a un defecto de años en el editor de ecuaciones (CVE-2017-11882)
- Una campaña que ha dirigido a organizaciones en España, Italia y Portugal utilizando temas relacionados con la factura para implementar un troyano de acceso remoto basado en Java llamado Rata ratty que pueden ejecutar comandos remotos, registrar teclas de teclas, capturar capturas de pantalla y robar datos confidenciales
- Una campaña que usos Una aplicación legítima de toma de notas conocida como Milanote y un kit de phishing adversario en el medio (AITM) doblado Magnate 2fa Para capturar las credenciales de los usuarios bajo la apariencia de ver un “nuevo acuerdo”
- Campañas que utilizar JavaScript codificado dentro de los archivos SVG, enlaces atrapados en bache en archivos adjuntos PDF, URL dinámicas de phishing que se reproducen en tiempo de ejecución dentro de archivos alojados de Onedrive y cargas de MHT archivadas dentro de las estructuras OpenXML para dirigir a los usuarios a la recolección de credenciales o al phishing páginas
- Campañas que abusan de Cloudflare TRITCLOUDFLARE Tuneling Función para implementar malware como asyncrat
“Los atacantes evolucionan continuamente tácticas para evitar las soluciones modernas de seguridad de correo electrónico y puntos finales, lo que hace que la detección y la mitigación de los intentos de phishing sea cada vez más difíciles”, señaló el investigador Intezer, Yuval Guri, señaló el mes pasado. “Y a pesar de los avances en las herramientas de ciberseguridad, muchas campañas de phishing aún alcanzan con éxito las bandejas de entrada de los usuarios”.
About the Author
