Los grupos de ciberdelincuentes combinan cada vez más técnicas nuevas y tradicionales para robar información confidencial de usuarios desprevenidos mediante la implementación de herramientas de acceso remoto (RAT) como AsyncRAT y SectopRAT.
La actividad reciente en el panorama de las amenazas cibernéticas ha visto a los atacantes utilizar técnicas como el envenenamiento de SEO, la typosquatting y la explotación de software legítimo de administración y monitoreo remoto (RMM) para infiltrarse en los sistemas y comprometer la seguridad de los datos.
Esta alarmante tendencia pone de relieve cómo los actores de amenazas continúan empleando enfoques creativos para eludir las defensas y explotar a los usuarios de Internet tanto novatos como experimentados.
Microsoft ha observado que los ciberdelincuentes están lanzando estafas de soporte técnico que implementan AsyncRAT a través del software de administración y monitoreo remoto (RMM) ScreenConnect. Esta es la primera vez que se utiliza ScreenConnect para implementar malware en lugar de como una herramienta de persistencia o movimiento lateral.
– Inteligencia de amenazas de Microsoft (@MsftSecIntel) 23 de diciembre de 2024
Microsoft revela nuevos usos de ScreenConnect en la implementación de malware
En un avance importante, Microsoft ha observado que los ciberdelincuentes están aprovechando una solución de software RMM legítima, ScreenConnect, de maneras sin precedentes.
Históricamente, los atacantes han utilizado principalmente ScreenConnect como una herramienta de persistencia o movimiento lateral para mantener el acceso a los sistemas comprometidos. Sin embargo, hallazgos recientes revelan que se utiliza como vector para implementar AsyncRAT, lo que lo convierte en el primer ejemplo conocido de esta estrategia.
Este método de ataque está relacionado con estafas de soporte técnico, donde se engaña a las víctimas para que participen en servicios de atención al cliente fraudulentos.
Estas estafas generalmente se basan en tácticas de ingeniería social para manipular a los usuarios para que otorguen acceso remoto a sus dispositivos con el pretexto de solucionar problemas o resolver un problema inventado.
Una vez que se concede el acceso, los ciberdelincuentes utilizan ScreenConnect para instalar AsyncRAT. AsyncRAT es un poderoso malware que puede realizar diversas acciones maliciosas, como filtración de datos, monitoreo del sistema y ejecución de comandos.
AsyncRAT es una amenaza conocida en el campo de la ciberseguridad, valorada por los atacantes por su eficiencia y flexibilidad. La implementación a través de ScreenConnect añade una nueva dimensión a su uso y enfatiza la importancia de una actitud escéptica al tratar con ofertas de soporte técnico no solicitadas.
Investigue enlaces maliciosos, malware y ataques de phishing del mundo real con ANY.RUN: pruébelo gratis
El envenenamiento de SEO y la typosquatting impulsan la distribución de SectopRAT
Otra táctica alarmante observada en los últimos meses es la implementación de SectopRAT, un malware de robo de información que utiliza tácticas avanzadas como el envenenamiento de SEO y la typosquatting. Estos métodos permiten a los atacantes atacar a las víctimas que visitan involuntariamente sitios web maliciosos.
Envenenamiento de SEO: al manipular los resultados de los motores de búsqueda, los atacantes pueden hacer que aparezcan sitios maliciosos cerca de la parte superior de los resultados de búsqueda para palabras clave específicas, incitando a usuarios desprevenidos a hacer clic en ellos. Typosquatting: los ciberdelincuentes aprovechan los errores tipográficos de los usuarios para registrar nombres de dominio que se parecen mucho a sitios web populares o confiables. Por ejemplo, una URL mal escrita para una marca legítima puede redirigir a los usuarios a una página web infectada con malware.
SectopRAT está diseñado específicamente para atacar datos confidenciales del navegador y billeteras de criptomonedas, lo que la convierte en una herramienta particularmente lucrativa para atacantes con motivación financiera.
Este malware es conocido por sus funciones sigilosas avanzadas, incluida su capacidad única de crear un segundo escritorio oculto en el sistema de destino.
Esta característica permite a los atacantes realizar actividades maliciosas en segundo plano sin alertar a los usuarios ni activar el software de seguridad.
Al ejecutarse en un escritorio virtual aislado, SectopRAT puede evadir la detección mientras extrae información confidencial o implementa cargas útiles adicionales.
El uso de técnicas avanzadas como el abuso de herramientas RMM, el envenenamiento de SEO y la typosquatting demuestran la creciente sofisticación de las actividades cibercriminales.
Estas estrategias enfatizan la importancia de mantener defensas sólidas de ciberseguridad tanto para usuarios individuales como para organizaciones.
Recomendaciones para garantizar su seguridad:
Verifique la información de contacto de soporte técnico: nunca permita el acceso remoto a su dispositivo a menos que verifique la identidad y legitimidad del agente de soporte. Las grandes empresas de tecnología normalmente no inician sesiones de soporte no solicitadas. Tenga cuidado al hacer clic en enlaces: tenga cuidado si los resultados del motor de búsqueda parecen sospechosos o difieren ligeramente de la URL de un sitio web legítimo. Supervise las extensiones y el software del navegador: mantenga actualizado su navegador web y las extensiones relacionadas para reducir las vulnerabilidades que SectopRAT puede explotar. Utilice protección de endpoints: instale software antivirus y de detección de endpoints confiable que pueda identificar RAT avanzadas y otro malware. Eduque a sus empleados y usuarios: asegúrese de que sus empleados y sus familias estén al tanto de las estafas de phishing, la typosquatting y otras tácticas de ingeniería social utilizadas por los atacantes.
El descubrimiento de estas nuevas tácticas pone de relieve la adaptabilidad de los ciberdelincuentes y la necesidad de permanecer alerta ante la evolución de las amenazas. La explotación de herramientas legítimas como ScreenConnect para distribuir AsyncRAT y la sofisticada estrategia de distribución de SectopRAT demuestran la creatividad incesante de los atacantes. Tanto las organizaciones como los individuos deben adoptar un enfoque de seguridad de múltiples niveles, mantenerse informados y proactivos sobre las últimas amenazas cibernéticas.
Los expertos en ciberseguridad continúan monitoreando de cerca estos desarrollos y emitiendo advertencias y actualizaciones para ayudar a reducir el riesgo. Sin embargo, en última instancia, es usted quien tiene la responsabilidad de adoptar métodos más seguros y garantizar que sus sistemas estén protegidos contra estas amenazas cada vez más sofisticadas.
Resultados de la evaluación MITRE ATT&CK 2024 para pequeñas empresas y MSP -> Descargue la guía gratuita
