AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Campaña masiva de distribución de AsyncRAT abusa de ScreenConnect y software falso

#### Introducción

En las últimas semanas, analistas de Kaspersky han detectado una campaña de distribución de malware a gran escala que explota la herramienta de acceso remoto ScreenConnect como vector principal de ataque para desplegar y ejecutar AsyncRAT. La operación, atribuida a actores desconocidos, destaca por su carácter “masivo, multi-dominio y multi-idioma”, y se apoya en la distribución de instaladores maliciosos a través de sitios web que suplantan aplicaciones populares. Este incidente pone de relieve la evolución de las amenazas basadas en ingeniería social y abuso de herramientas legítimas, exigiendo una respuesta técnica rigurosa por parte de los equipos de ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

El modus operandi observado se basa en el uso de ScreenConnect —herramienta legítima de acceso remoto recientemente rebautizada como ConnectWise Control— para establecer persistencia y control sobre sistemas comprometidos. Los atacantes distribuyen instaladores falsos de software ampliamente utilizado, como OBS Studio, DNS Jumper, DS4Windows y Bandicam, alojados en páginas fraudulentas que imitan fielmente los portales oficiales. Esta táctica, sumada a la utilización de múltiples dominios en varios idiomas, ha permitido ampliar el alcance de la campaña a usuarios y organizaciones de diferentes regiones y sectores.

La utilización de software legítimo como vector inicial dificulta la detección por parte de soluciones tradicionales y plantea nuevos desafíos para la protección de endpoints y la monitorización de redes corporativas.

#### Detalles Técnicos

La campaña detectada ha sido vinculada al despliegue de AsyncRAT (Remote Access Trojan), un malware de código abierto ampliamente empleado en campañas de control remoto, espionaje y robo de información. El proceso de infección se inicia con la descarga de un instalador manipulado que, al ejecutarse, instala una instancia de ScreenConnect. Esta herramienta es configurada automáticamente para conectar el sistema víctima con el servidor C2 (Command and Control) de los atacantes.

**Vectores de ataque**:
– **Ingeniería social**: Descargas engañosas desde sitios fraudulentos que simulan ser portales oficiales.
– **Abuso de confianza en software legítimo**: ScreenConnect se instala con apariencia legítima y, una vez en ejecución, es usado para desplegar AsyncRAT, generalmente a través de scripts automatizados o cargas secundarias.
– **TTPs MITRE ATT&CK**:
– **Initial Access**: T1566 (Phishing), T1195 (Supply Chain Compromise)
– **Execution**: T1204 (User Execution), T1059 (Command and Scripting Interpreter)
– **Persistence**: T1547 (Boot or Logon Autostart Execution)
– **Command and Control**: T1071 (Application Layer Protocol)

**Indicadores de Compromiso (IoC)**:
– Instalación inesperada de ScreenConnect, especialmente con conexiones salientes a servidores desconocidos.
– Archivos ejecutables de nombre similar a instaladores de software popular, pero con hashes no coincidentes con los originales.
– Comunicación cifrada sospechosa hacia dominios recientemente registrados y relacionados con la campaña.

**CVE y exploits conocidos**: Hasta la fecha, no se han reportado CVEs específicos explotados en esta campaña. La amenaza reside en el abuso de la funcionalidad legítima de ScreenConnect y no en una vulnerabilidad del software en sí.

#### Impacto y Riesgos

El despliegue de AsyncRAT a través de ScreenConnect permite a los atacantes obtener control total sobre los sistemas comprometidos, facilitando:
– Robo de credenciales y datos sensibles.
– Persistencia prolongada y movimiento lateral.
– Instalación de cargas adicionales (keyloggers, stealer, ransomware).
– Potencial impacto en la disponibilidad y la confidencialidad, con riesgo de violación del GDPR y otras normativas europeas (NIS2).

Se estima que cientos de organizaciones y miles de endpoints podrían estar afectados, dada la naturaleza masiva y automatizada de la campaña. El uso de dominios multi-idioma sugiere un alcance geográfico extenso.

#### Medidas de Mitigación y Recomendaciones

– **Bloqueo de IoCs y dominios sospechosos** en firewalls y sistemas de detección.
– **Revisión de instalaciones de ScreenConnect** no autorizadas y auditoría de logs de acceso remoto.
– **Educación a usuarios** sobre los riesgos de descargar software fuera de los portales oficiales.
– **Implantación de soluciones EDR** con capacidades de detección de RATs y abuso de herramientas legítimas.
– **Revisión de políticas de privilegios** y restricción de instalación de software por parte de usuarios finales.
– **Actualización y parcheo** continuo de todos los sistemas.
– **Monitorización de conexiones salientes** inusuales a dominios recientemente registrados.

#### Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Kaspersky y miembros de la comunidad de threat intelligence, coinciden en que este tipo de campañas refuerzan la necesidad de adoptar una aproximación Zero Trust y de extremar la vigilancia sobre el uso de herramientas de acceso remoto. Según fuentes de ENISA, campañas similares han incrementado su frecuencia un 40% en el último año, aprovechando la confianza en software legítimo y la falta de supervisión sobre descargas e instalaciones.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la campaña pone de manifiesto la importancia de controlar estrictamente el software autorizado y de monitorizar el uso de herramientas de administración remota, especialmente en entornos de teletrabajo. Los usuarios finales, por su parte, deben ser formados en la identificación de sitios web fraudulentos y en la verificación de la integridad del software descargado. Un incidente de este tipo puede desembocar en filtraciones de datos, sanciones regulatorias y pérdida de confianza por parte de clientes y partners.

#### Conclusiones

La campaña de distribución de AsyncRAT mediante ScreenConnect representa una amenaza significativa y sofisticada, que explota la ingeniería social y el abuso de herramientas legítimas para maximizar su eficacia y alcance. La detección proactiva, la educación de usuarios y la vigilancia sobre los accesos remotos son esenciales para mitigar el impacto de estas campañas y reducir la superficie de exposición ante amenazas similares.

(Fuente: feeds.feedburner.com)