Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Campanya de phishing VENOMOUS#HELPER

Campanya de phishing VENOMOUS#HELPER

El Mezo el Phishing
Traduir a:

Una sofisticada campanya de phishing, identificada com a VENOMOUS#HELPER, ha estat activa des d'almenys l'abril del 2025, dirigida a múltiples vectors d'atac mitjançant l'abús d'eines legítimes de Monitorització i Gestió Remota (RMM). Més de 80 organitzacions, principalment als Estats Units, s'han vist afectades. L'activitat se superposa amb clústers documentats anteriorment coneguts com a STAC6405. Tot i que l'atribució continua sent incerta, els patrons operatius s'alineen fortament amb els Intermediaris d'Accés Inicial (IAB) impulsats per finances o grups precursors de ransomware que busquen establir punts de suport per a una explotació posterior.

Vivint d’eines de confiança: l’abús del programari RMM legítim

En lloc de desplegar programari obertament maliciós, els atacants es basen en versions personalitzades d'eines legítimes com ara SimpleHelp i ConnectWise ScreenConnect. Com que aquestes aplicacions s'utilitzen habitualment en entorns empresarials, la seva presència sovint ignora els controls de seguretat tradicionals i evita aixecar sospites.

El desplegament simultani d'ambdues eines és una tàctica deliberada. En establir canals d'accés remot duals, els atacants garanteixen la resiliència operativa. Si es detecta i neutralitza una connexió, el segon canal roman actiu, permetent l'accés no autoritzat continu sense interrupcions.

Punt d’entrada de phishing: enginyeria social amb una disfressa fiable

La cadena d'atac comença amb un correu electrònic de suplantació d'identitat (phishing) acuradament elaborat que suplanta la identitat de l'Administració de la Seguretat Social dels Estats Units (SSA). El missatge insta els destinataris a verificar la seva adreça de correu electrònic i descarregar un suposat extracte de la SSA mitjançant un enllaç incrustat.

Cal destacar que l'enllaç dirigeix les víctimes a un lloc web comercial mexicà legítim però compromès, cosa que demostra un esforç intencionat per evadir els filtres de correu brossa i les defenses basades en la reputació. Des d'allà, les víctimes són redirigides a un segon domini controlat per l'atacant, que allotja la càrrega útil maliciosa disfressada de document legítim.

Lliurament de càrrega útil i persistència: enginyeria d’accés a llarg termini

Un cop descarregada, la càrrega útil, empaquetada com a executable de Windows, inicia la instal·lació de l'eina SimpleHelp RMM. Es creu que els atacants han compromès un compte de cPanel al servidor d'allotjament per instal·lar el fitxer maliciós.

Després de l'execució, el programari maliciós estableix persistència i resiliència a través de diversos mecanismes:

  • Instal·lació com a servei de Windows amb capacitats de persistència en mode segur
  • Implementació d'un watchdog autoreparable que reinicia automàticament el servei si es tanca
  • Enumeració regular dels productes de seguretat instal·lats a través de l'espai de noms WMI root\SecurityCenter2 cada 67 segons
  • Monitorització contínua de l'activitat dels usuaris a intervals de 23 segons

Aquestes tècniques garanteixen que la presència maliciosa romangui activa, adaptativa i difícil d'eradicar.

Escalada de privilegis i control de tot el sistema

Per aconseguir un control interactiu complet sobre el sistema compromès, el client SimpleHelp augmenta els privilegis adquirint SeDebugPrivilege a través d'AdjustTokenPrivileges. A més, s'aprofita un component legítim del programari, "elev_win.exe", per obtenir accés a nivell de SISTEMA.

Aquest nivell de privilegi elevat permet als atacants:

  • Supervisar i capturar l'activitat de la pantalla
  • Injectar pulsacions de tecles en temps real
  • Accedir a recursos sensibles dins del context de l'usuari

Aquestes capacitats atorguen un control complet sobre l'entorn de la víctima sense activar les alertes de seguretat convencionals.

Estratègia d’accés redundant: ScreenConnect com a canal de reserva

Després de l'establiment del canal d'accés principal, els atacants implementen ConnectWise ScreenConnect com a mecanisme d'accés remot secundari. Això garanteix la persistència fins i tot si la connexió inicial de SimpleHelp s'identifica i es bloqueja.

L'ús de múltiples eines legítimes posa de manifest una estratègia d'accés per capes dissenyada per a la durabilitat i la discreció, cosa que complica els esforços de detecció i resposta a incidents.

Impacte operacional: control silenciós sota el radar

La versió de SimpleHelp implementada (5.0.1) proporciona un conjunt robust de funcions d'administració remota. Un cop integrades a l'entorn, els atacants poden operar lliurement i discretament. L'organització compromesa queda exposada a una explotació contínua, ja que els atacants poden tornar a entrar al sistema a voluntat.

L'entorn es converteix efectivament en un actiu controlat, on els adversaris poden executar ordres silenciosament, transferir fitxers en ambdues direccions i moure's lateralment per la xarxa. Com que tota l'activitat sembla originar-se a partir de programari signat legítimament produït per un proveïdor de renom del Regne Unit, els antivirus tradicionals i les defenses basades en signatures sovint no aconsegueixen detectar la intrusió.

Conclusió: un pla per a les intrusions modernes

VENOMOUS#HELPER exemplifica la creixent tendència d'aprofitar eines administratives legítimes amb finalitats malicioses. Combinant enginyeria social, abús de programari de confiança i mecanismes d'accés redundant, la campanya aconsegueix persistència, sigil i flexibilitat operativa. Aquest enfocament subratlla la necessitat urgent de monitorització del comportament, principis de confiança zero i un millor escrutini de l'ús legítim d'eines en entorns empresarials.

 

Tendència

Més vist

Carregant...