AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes manipulan instaladores legítimos de ScreenConnect para desplegar malware remoto firmado**

admin

### 1. Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una técnica sofisticada mediante la cual actores de amenazas están explotando instaladores legítimos de ConnectWise ScreenConnect para distribuir malware de acceso remoto. Mediante la alteración de configuraciones ocultas dentro de la firma Authenticode del instalador, los atacantes logran evadir controles de seguridad y desplegar puertas traseras firmadas digitalmente, dificultando la detección y el análisis forense. Este vector, que aprovecha la confianza depositada en binarios autenticados, representa un riesgo significativo para organizaciones que dependen de herramientas de administración remota.

### 2. Contexto del Incidente

ConnectWise ScreenConnect, anteriormente conocido como ScreenConnect, es una solución ampliamente utilizada para el soporte y administración remota en entornos empresariales y de proveedores de servicios gestionados (MSP). La confianza en estos instaladores está respaldada por la firma digital Authenticode de Microsoft, diseñada para garantizar la integridad y autenticidad del software distribuido.

Sin embargo, investigadores han identificado campañas activas donde los instaladores legítimos de ScreenConnect se modifican tras su firma oficial. Estas modificaciones, centradas en configuraciones ocultas del binario, permiten a los atacantes camuflar cargas maliciosas bajo la apariencia de software legítimo, burlando mecanismos de control de aplicaciones y soluciones EDR (Endpoint Detection and Response) que priorizan la confianza en ejecutables firmados.

### 3. Detalles Técnicos

#### **CVE y vectores de ataque**

Hasta la fecha, no se ha asignado un CVE específico a este vector, ya que no implica una vulnerabilidad directa en ScreenConnect, sino un abuso de la cadena de confianza de la firma Authenticode. El ataque capitaliza la posibilidad de manipular parámetros de configuración internos tras la firma del instalador, sin invalidar la propia firma digital.

#### **Técnicas, Tácticas y Procedimientos (TTP) – MITRE ATT&CK**

– **T1195 (Supply Chain Compromise):** Manipulación de instaladores legítimos.
– **T1071.001 (Application Layer Protocol: Web Protocols):** Comunicación C2 a través de canales web cifrados.
– **T1027 (Obfuscated Files or Information):** Modificación y ocultación de configuraciones en binarios firmados.
– **T1218.011 (Signed Binary Proxy Execution):** Uso de binarios legítimos firmados para ejecutar código malicioso.

El vector de ataque frecuentemente implica la alteración de archivos de configuración embebidos en el instalador, como parámetros de despliegue silencioso o scripts post-instalación, que se ejecutan tras la validación de la firma Authenticode. Este proceso suele automatizarse mediante scripts personalizados o herramientas específicas de modificación binaria.

#### **Indicadores de Compromiso (IoC)**

– Instaladores de ScreenConnect con hashes diferentes a los originales, pero con firmas válidas.
– Presencia de archivos .config o scripts PowerShell sospechosos en rutas temporales tras la instalación.
– Conexiones salientes a dominios C2 no asociados a ConnectWise.
– Actividad anómala de procesos hijos lanzados por ScreenConnect.Client.exe.

#### **Herramientas y frameworks utilizados**

Se han observado implementaciones que integran payloads de acceso remoto (RAT) como Cobalt Strike Beacons, así como la integración de módulos en Metasploit para automatizar la manipulación de binarios y la generación de instaladores maliciosos.

### 4. Impacto y Riesgos

El impacto potencial de este vector es elevado, especialmente en entornos donde se confía en la firma digital como principal criterio de validación. Se estima que hasta un 15% de los incidentes recientes de acceso remoto no autorizado en empresas medianas y grandes han explotado variantes de este método. Los atacantes pueden obtener persistencia, exfiltrar datos sensibles y pivotar lateralmente en la red, todo ello sin levantar alertas inmediatas.

A nivel económico, los incidentes de abuso de herramientas legítimas firmadas pueden generar pérdidas medias de 250.000 a 1 millón de euros por incidente, considerando tiempos de respuesta, análisis forense y posible sanción por incumplimiento de normativas como el RGPD o la inminente NIS2.

### 5. Medidas de Mitigación y Recomendaciones

– **Validación de integridad:** Comprobar los hashes de los instaladores descargados desde el portal oficial y verificar la cadena de certificados antes de su despliegue.
– **Restricción de instalación:** Limitar la capacidad de instalar software a cuentas privilegiadas y utilizar listas blancas de aplicaciones (AppLocker, WDAC).
– **Monitorización avanzada:** Configurar soluciones EDR para analizar comportamientos anómalos de binarios firmados y monitorizar la creación de procesos hijos sospechosos.
– **Revisión de logs:** Revisar los registros de ScreenConnect y correlacionarlos con eventos de autenticación y acceso remoto inusual.
– **Formación y concienciación:** Actualizar a los equipos IT y SOC sobre estos vectores emergentes y realizar simulaciones de ataque.

### 6. Opinión de Expertos

Especialistas en ciberseguridad subrayan que la confianza ciega en binarios firmados se ha convertido en una debilidad explotable. “La manipulación de parámetros internos en instaladores firmados marca una evolución en los ataques a la cadena de suministro”, señala David Barroso, CEO de CounterCraft. “Las organizaciones deben adoptar un enfoque de zero trust, incluso para software de proveedores acreditados”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus procedimientos de despliegue y gestión de software, reforzando la supervisión de todas las aplicaciones remotas, incluso aquellas procedentes de fuentes oficiales. Los usuarios finales, por su parte, deben evitar instalar herramientas de soporte remoto no verificadas y reportar cualquier acceso no solicitado.

El incumplimiento de buenas prácticas puede implicar sanciones bajo el RGPD y, próximamente, bajo la directiva NIS2, que exige altos estándares de ciberhigiene y gestión de riesgos de la cadena de suministro digital.

### 8. Conclusiones

El abuso de instaladores legítimos de ScreenConnect mediante la manipulación de parámetros ocultos en binarios firmados representa un ejemplo paradigmático de los retos actuales en la gestión de la cadena de confianza. La sofisticación de estos ataques exige una respuesta conjunta que combine controles técnicos avanzados, validación continua y una cultura de seguridad orientada al zero trust.

(Fuente: www.bleepingcomputer.com)