Al menos dos agencias federales en los EE. UU. fueron v\u00edctimas de una “campa\u00f1a cibern\u00e9tica generalizada” que involucr\u00f3 el uso de software leg\u00edtimo de administraci\u00f3n y monitoreo remoto (RMM) para perpetuar una estafa de phishing.<\/p>\n
“Espec\u00edficamente, los ciberdelincuentes enviaron correos electr\u00f3nicos de phishing que condujeron a la descarga de software RMM leg\u00edtimo, ScreenConnect (ahora ConnectWise Control) y AnyDesk, que los actores utilizaron en una estafa de reembolso para robar dinero de las cuentas bancarias de las v\u00edctimas”, dijeron las autoridades de ciberseguridad de EE. UU. dicho<\/a>.<\/p>\n El aviso conjunto proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y el Centro de An\u00e1lisis e Intercambio de Informaci\u00f3n Multiestatal (MS-ISAC).<\/p>\n Los ataques, que tuvieron lugar a mediados de junio y mediados de septiembre de 2022, tienen motivaciones financieras, aunque los actores de amenazas podr\u00edan armar el acceso no autorizado para realizar una amplia gama de actividades, incluida la venta de ese acceso a otros equipos de pirater\u00eda.<\/p>\n El uso de software remoto por parte de grupos delictivos ha sido durante mucho tiempo una preocupaci\u00f3n, ya que ofrece una v\u00eda eficaz para establecer el acceso de usuarios locales en un host sin necesidad de elevar los privilegios u obtener un punto de apoyo por otros medios.<\/p>\n En un caso, los actores de amenazas enviaron un correo electr\u00f3nico de phishing que conten\u00eda un n\u00famero de tel\u00e9fono a la direcci\u00f3n de correo electr\u00f3nico del gobierno de un empleado, lo que llev\u00f3 al individuo a un dominio malicioso. Los correos electr\u00f3nicos, dijo CISA, son parte de ataques de ingenier\u00eda social con el tema de la mesa de ayuda orquestados por los actores de amenazas desde al menos junio de 2022 dirigidos a empleados federales.<\/p>\n Las misivas relacionadas con la suscripci\u00f3n contienen un dominio falso de “primera etapa” o participan en una t\u00e1ctica conocida como phishing de devoluci\u00f3n de llamada para atraer a los destinatarios a llamar a un n\u00famero de tel\u00e9fono controlado por el actor para visitar el mismo dominio.<\/p>\n Independientemente del enfoque utilizado, el dominio malicioso desencadena la descarga de un binario que luego se conecta a un dominio de segunda etapa para recuperar el software RMM en forma de ejecutables port\u00e1tiles.<\/p>\n El objetivo final es aprovechar el software RMM para iniciar una estafa de reembolso. Esto se logra instruyendo a las v\u00edctimas para que inicien sesi\u00f3n en sus cuentas bancarias, despu\u00e9s de lo cual los actores modifican el resumen de la cuenta bancaria para que parezca que a la persona se le reembols\u00f3 por error una cantidad excesiva de dinero.<\/p>\n En el paso final, los estafadores instan a los destinatarios del correo electr\u00f3nico a reembolsar el monto adicional, defraud\u00e1ndolos de sus fondos.<\/p>\n