Campaña maliciosa explota ConnectWise ScreenConnect para desplegar AsyncRAT y robar datos críticos

Introducción

En las últimas semanas, investigadores de ciberseguridad han alertado sobre una sofisticada campaña dirigida a entornos empresariales, en la que actores maliciosos aprovechan ConnectWise ScreenConnect, una reconocida solución de Remote Monitoring and Management (RMM), para desplegar herramientas de acceso remoto (RAT) y comprometer la integridad de los sistemas afectados. El vector principal de esta amenaza es el despliegue de AsyncRAT, un malware especializado en el robo de información sensible, mediante la utilización de un «fleshless loader» que dificulta su detección y análisis. Este incidente subraya nuevamente los riesgos asociados al abuso de software legítimo en operativas maliciosas y la necesidad de reforzar las estrategias de defensa en el sector empresarial.

Contexto del Incidente

El abuso de soluciones RMM como ConnectWise ScreenConnect (ahora ConnectWise Control) no es nuevo, pero la campaña actual destaca por la creatividad y eficacia en la cadena de ataque. Los atacantes aprovechan la confianza y el elevado nivel de permisos inherentes a este tipo de herramientas, que suelen estar presentes en infraestructuras de TI para administración remota, actualización de sistemas y soporte técnico. Tras obtener acceso —ya sea explotando vulnerabilidades conocidas, credenciales filtradas o mediante ingeniería social—, los actores despliegan un loader minimalista, capaz de ejecutar cargas útiles sin dejar artefactos evidentes en disco.

Detalles Técnicos

Según los análisis, el punto de entrada es la instalación o explotación de ConnectWise ScreenConnect en sistemas Windows (versiones 7, 8.1, 10 y 11, así como Windows Server 2012 en adelante). No se ha reportado una CVE específica para esta campaña, aunque vulnerabilidades pasadas, como CVE-2024-1709 (ejecución remota de código en versiones <23.9.8), han sido explotadas en incidentes similares.

Una vez obtenida la persistencia mediante ScreenConnect, el atacante ejecuta un script VBScript altamente ofuscado que actúa como loader. Este script descarga en memoria (técnica Living-off-the-Land) un binario intermedio, que a su vez inyecta AsyncRAT en procesos legítimos del sistema (por ejemplo, explorer.exe o svchost.exe), dificultando su detección por parte de soluciones EDR y antivirus tradicionales.

AsyncRAT es un framework open-source ampliamente utilizado en campañas APT y cibercrimen, con capacidades para:

– Keylogging y capturación de pulsaciones
– Robo de credenciales almacenadas en navegadores y clientes de correo
– Captura de pantalla y monitorización remota en tiempo real
– Descarga y ejecución de payloads adicionales
– Control total del sistema comprometido

La cadena de ataque sigue técnicas MITRE ATT&CK como T1219 (Remote Access Tools), T1059 (Command and Scripting Interpreter), T1027 (Obfuscated Files or Information) y T1071 (Application Layer Protocol). Los indicadores de compromiso (IoCs) identificados incluyen conexiones C2 hacia dominios ofuscados, hash de los binarios loader y AsyncRAT, así como registros de instalación no autorizada de ScreenConnect.

Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente para empresas con infraestructuras Windows y uso intensivo de RMM. La explotación puede resultar en robo masivo de credenciales, acceso a información confidencial, movimientos laterales, exfiltración de datos y, en última instancia, un compromiso total de la red corporativa. Se estima que un 8-12% de las organizaciones con RMM expuesto podrían ser potencialmente vulnerables.

A nivel de cumplimiento regulatorio, incidentes de este tipo pueden suponer graves infracciones del GDPR, al implicar pérdida o exposición de datos personales, así como incumplimientos de la directiva NIS2 sobre seguridad de redes y sistemas de información.

Medidas de Mitigación y Recomendaciones

– Revisar y restringir el acceso remoto a herramientas RMM, permitiendo solo desde direcciones IP y dispositivos autorizados.
– Mantener ScreenConnect y otros RMM actualizados a la última versión estable; parchear urgentemente versiones afectadas por CVE-2024-1709 y otras vulnerabilidades críticas.
– Implementar autenticación multifactor (MFA) y fortalecer las políticas de gestión de credenciales.
– Monitorizar logs de acceso remoto y detectar patrones anómalos (sesiones no programadas, desde ubicaciones inusuales).
– Aplicar reglas YARA y firmas específicas para identificar artefactos de AsyncRAT y scripts ofuscados en endpoints.
– Limitar privilegios de cuentas de servicio y segmentar la red para dificultar movimientos laterales.

Opinión de Expertos

Especialistas del sector, como los equipos de Threat Intelligence de Malwarebytes y Sekoia, advierten que el uso de RMM legítimos por parte de atacantes continuará en ascenso, dada la dificultad para distinguir entre actividades legítimas y maliciosas. Recomiendan reforzar la visibilidad sobre el uso de software de administración remota y combinar herramientas EDR con análisis de comportamiento (UEBA) para detectar desviaciones sutiles.

Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad, este incidente pone de manifiesto la importancia de considerar los riesgos inherentes a aplicaciones legítimas en la superficie de ataque. Las empresas deben revisar sus procedimientos de onboarding y offboarding de herramientas RMM, así como invertir en formación continua de administradores y usuarios sobre los vectores de ataque más actuales.

Conclusiones

La campaña que explota ConnectWise ScreenConnect para desplegar AsyncRAT evidencia la sofisticación y persistencia de los atacantes a la hora de abusar de software legítimo en entornos corporativos. El refuerzo de controles de acceso, la monitorización proactiva y la actualización constante de sistemas son medidas imprescindibles para mitigar estas amenazas en evolución.

(Fuente: feeds.feedburner.com)