Investigadores en seguridad alertan sobre una serie de campañas de phishing que instalan software de monitorización y gestión remota (RMM) para acceder de forma no autorizada a los equipos de las víctimas. Según un informe reciente de Red Canary, los atacantes están abusando de herramientas legítimas de administración de TI como ITarian (Comodo), PDQ, SimpleHelp y Atera para evadir defensas y mantener persistencia en los sistemas comprometidos.

Múltiples Engaños Utilizados

Estas campañas emplean varias tácticas de ingeniería social para engañar a los usuarios y hacer que descarguen instaladores de RMM disfrazados de aplicaciones o documentos confiables:

• Actualizaciones falsas de navegador – Las víctimas son redirigidas a sitios maliciosos que muestran un botón “Actualizar Chrome”, que en realidad descarga el instalador ITarian RMM (MSI).
• Invitaciones a reuniones – Correos con enlaces a instaladores falsos de Microsoft Teams o Zoom, que terminan desplegando herramientas RMM como Atera, PDQ o ScreenConnect.
• Invitaciones a fiestas – Mensajes con archivos adjuntos como “Party Card Viewer” o “E-Invite”, que entregan Atera RMM a través de un dominio de almacenamiento Cloudflare R2 confiable para el sistema de la víctima.
• Formularios gubernamentales – Documentos falsos de la Seguridad Social, W9 o declaraciones de impuestos que inician la instalación de PDQ Connect, SimpleHelp o ScreenConnect. En algunos casos, los atacantes encadenan varias herramientas RMM en rápida sucesión.

Por Qué es Peligroso el Abuso de RMM

Aunque el software RMM se usa comúnmente para administración de TI legítima, en manos equivocadas puede permitir ataques de ransomware, robo de datos o vigilancia prolongada. La capacidad de los adversarios de disfrazar instaladores detrás de engaños convincentes hace que estas campañas sean especialmente efectivas.

Red Canary subraya la importancia de implementar controles de seguridad y mecanismos de detección robustos para mitigar riesgos. Algunas estrategias recomendadas incluyen:

• Implementar soluciones de detección y respuesta en endpoints (EDR).
• Mantener una lista de herramientas aprobadas y bloquear software no autorizado.
• Mejorar la visibilidad de la red mediante aislamiento de navegador, monitoreo de dominios sospechosos y revisión de servicios confiables como Cloudflare R2.

Indicadores de Uso Malicioso de RMM

Para diferenciar entre actividad legítima y maliciosa, los equipos de seguridad deben entender el comportamiento normal de estas herramientas. Algunas señales de alerta incluyen:

• Archivos de instalación renombrados o modificados.
• Instalaciones desde directorios inusuales.
• Descargas desde dominios no vinculados al proveedor del RMM.
• Conexiones de red sospechosas iniciadas por la herramienta.

A medida que los atacantes continúan explotando plataformas RMM confiables, las organizaciones deben fortalecer la seguridad tanto en endpoints como en la red. Una estrategia proactiva puede ayudar a identificar y contener compromisos antes de que se conviertan en incidentes graves.

Fuente: https://www.infosecurity-magazine.com/news/phishing-campaigns-rmm-tools