Los investigadores de ciberseguridad advierten sobre una nueva campaña que se dirige a usuarios de habla portuguesa en Brasil con versiones de prueba del software comercial de monitoreo y gestión remota (RMM) desde enero de 2025.
«El mensaje de spam utiliza el sistema de facturas electrónicas brasileñas, NF-E, como un atractivo para atraer a los usuarios a hacer clic en hipervínculos y acceder al contenido malicioso alojado en Dropbox», dijo el investigador de Cisco Talos Guilherme Venere en un informe del jueves.
Las cadenas de ataque comienzan con correos electrónicos de spam especialmente diseñados que afirman que se originan en instituciones financieras o operadores de teléfonos celulares, advirtiendo sobre facturas vencidas o pagos sobresalientes para engañar a los usuarios para que haga clic en enlaces falsos de Dropbox que apuntan a un instalador binario para la herramienta RMM.
Dos herramientas RMM notables observadas son el acceso remoto RMM N-Cable y PDQ Connect, otorgando a los atacantes la capacidad de leer y escribir archivos en el sistema de archivos remoto.
En algunos casos, los actores de amenaza usan las capacidades remotas de estos agentes para descargar e instalar un software RMM adicional como ScreenConnect después del compromiso inicial.
Con base en los receptores comunes observados, se ha encontrado que la campaña se dirige principalmente a ejecutivos de nivel C y una cuenta de recursos financieros y humanos en varias industrias, incluidas algunas instituciones educativas y gubernamentales.
También se ha evaluado con gran confianza que la actividad es el trabajo de un corredor de acceso inicial (IAB) que está abusando de los períodos de prueba gratuitos asociados con varios programas RMM para obtener acceso no autorizado. Desde entonces, Nable ha tomado medidas para deshabilitar las cuentas de prueba afectadas.
«El abuso de los adversarios de las herramientas comerciales de RMM ha aumentado constantemente en los últimos años», dijo Venere. «Estas herramientas son de interés para los actores de amenaza porque generalmente están firmadas digitalmente por entidades reconocidas y son una puerta trasera totalmente destacada».
«También tienen poco o ningún costo en software o infraestructura, ya que todo esto generalmente es proporcionado por la aplicación de la versión de prueba».
El desarrollo se produce en medio de la aparición de varias campañas de phishing que están diseñadas para dejar de lado las defensas modernas y propagar una amplia gama de familias de malware, o recolectar las credenciales de las víctimas,
- Una campaña realizada por un grupo de delitos cibernéticos sudamericanos llamado Hive0148 para distribuir el troyano bancario Grandoreiro a los usuarios en usuarios de México y Costa Rica.
- Una campaña que emplea un servicio legítimo de intercambio de archivos llamado GetShared para evitar las protecciones de seguridad y dirigir a los usuarios a enlaces que alojan malware
- Una campaña que utiliza señuelos con temas de pedidos de ventas para entregar el malware Formbook mediante un documento de Microsoft Word que es susceptible a una falla de años en el editor de ecuaciones (CVE-2017-11882)
- Una campaña que ha dirigido a las organizaciones en España, Italia y Portugal utilizando temas relacionados con la factura para implementar un troyano de acceso remoto basado en Java llamado Ratty Rat que puede ejecutar comandos remotos, pulsaciones de registro de pulsaciones, capturar capturas de pantalla y robar datos confidenciales.
- Una campaña que utiliza una aplicación legítima de toma de notas conocida como Milanote y un kit de phishing adversario en el medio (AITM) denominado Tycoon 2FA para capturar las credenciales de los usuarios bajo el pretexto de ver un «nuevo acuerdo»
- Las campañas que utilizan JavaScript codificada dentro de los archivos SVG, enlaces atrapados en bache en archivos adjuntos PDF, URL dinámicas de phishing que se reproducen en tiempo de ejecución dentro de archivos alojados en Onedrive y cargas de MHT archivadas dentro de las estructuras OpenXML para dirigir a los usuarios a la cosecha de credenciales o páginas de phishing Phishing
- Campañas que abusan de la función de túneles TryCloudflare de Cloudflare para implementar malware como Asyncrat
«Los atacantes evolucionan continuamente tácticas para evitar las soluciones modernas de seguridad de correo electrónico y puntos finales, lo que hace que la detección y la mitigación de los intentos de phishing sea cada vez más difíciles», señaló el investigador Intezer, Yuval Guri, señaló el mes pasado. «Y a pesar de los avances en las herramientas de ciberseguridad, muchas campañas de phishing aún alcanzan con éxito las bandejas de entrada de los usuarios».
