Los investigadores de ciberseguridad advierten sobre una nueva campaña que se dirige a usuarios de palabra portuguesa en Brasil con versiones de prueba del software comercial de monitoreo y mandato remota (RMM) desde enero de 2025.
“El mensaje de spam utiliza el sistema de facturas electrónicas brasileñas, NF-E, como un atractivo para atraer a los usuarios a hacer clic en hipervínculos y obtener al contenido ladino alojado en Dropbox”, dijo el investigador de Cisco Talos Guilherme Venere en un referencia del jueves.
Las cadenas de ataque comienzan con correos electrónicos de spam especialmente diseñados que afirman que se originan en instituciones financieras o operadores de teléfonos celulares, advirtiendo sobre facturas vencidas o pagos sobresalientes para engañar a los usuarios para que haga clic en enlaces falsos de Dropbox que apuntan a un instalador binario para la utensilio RMM.
Dos herramientas RMM notables observadas son el entrada remoto RMM N-Cable y PDQ Connect, otorgando a los atacantes la capacidad de descifrar y escribir archivos en el sistema de archivos remoto.
En algunos casos, los actores de amenaza usan las capacidades remotas de estos agentes para descargar e instalar un software RMM adicional como ScreenConnect a posteriori del compromiso original.
Con almohadilla en los receptores comunes observados, se ha antitético que la campaña se dirige principalmente a ejecutivos de nivel C y una cuenta de posibles financieros y humanos en varias industrias, incluidas algunas instituciones educativas y gubernamentales.
Todavía se ha evaluado con gran confianza que la actividad es el trabajo de un corredor de entrada original (IAB) que está abusando de los períodos de prueba gratuitos asociados con varios programas RMM para obtener entrada no acreditado. Desde entonces, Nable ha tomado medidas para deshabilitar las cuentas de prueba afectadas.
“El injusticia de los adversarios de las herramientas comerciales de RMM ha aumentado constantemente en los últimos primaveras”, dijo Venere. “Estas herramientas son de interés para los actores de amenaza porque generalmente están firmadas digitalmente por entidades reconocidas y son una puerta trasera totalmente destacada”.
“Todavía tienen poco o ningún costo en software o infraestructura, ya que todo esto generalmente es proporcionado por la aplicación de la interpretación de prueba”.
El mejora se produce en medio de la aparición de varias campañas de phishing que están diseñadas para dejar de flanco las defensas modernas y propagar una amplia matiz de familias de malware, o recoger las credenciales de las víctimas,
- Una campaña realizada por un camarilla de delitos cibernéticos sudamericanos llamado Hive0148 para distribuir el troyano bancario Grandoreiro a los usuarios en usuarios de México y Costa Rica.
- Una campaña que emplea un servicio permitido de intercambio de archivos llamado GetShared para evitar las protecciones de seguridad y dirigir a los usuarios a enlaces que alojan malware
- Una campaña que utiliza señuelos con temas de pedidos de ventas para entregar el malware Formbook mediante un documento de Microsoft Word que es susceptible a una falta de primaveras en el editor de ecuaciones (CVE-2017-11882)
- Una campaña que ha dirigido a las organizaciones en España, Italia y Portugal utilizando temas relacionados con la confección para implementar un troyano de entrada remoto basado en Java llamado Ratty Rat que puede ejecutar comandos remotos, pulsaciones de registro de pulsaciones, capturar capturas de pantalla y robar datos confidenciales.
- Una campaña que utiliza una aplicación legítima de toma de notas conocida como Milanote y un kit de phishing adversario en el medio (AITM) denominado Tycoon 2FA para capturar las credenciales de los usuarios bajo el pretexto de ver un “nuevo acuerdo”
- Las campañas que utilizan JavaScript codificada en el interior de los archivos SVG, enlaces atrapados en zanja en archivos adjuntos PDF, URL dinámicas de phishing que se reproducen en tiempo de ejecución en el interior de archivos alojados en Onedrive y cargas de MHT archivadas en el interior de las estructuras OpenXML para dirigir a los usuarios a la cosecha de credenciales o páginas de phishing Phishing
- Campañas que abusan de la función de túneles TryCloudflare de Cloudflare para implementar malware como Asyncrat
“Los atacantes evolucionan continuamente tácticas para evitar las soluciones modernas de seguridad de correo electrónico y puntos finales, lo que hace que la detección y la mitigación de los intentos de phishing sea cada vez más difíciles”, señaló el investigador Intezer, Yuval Guri, señaló el mes pasado. “Y a pesar de los avances en las herramientas de ciberseguridad, muchas campañas de phishing aún alcanzan con éxito las bandejas de entrada de los usuarios”.
