Los actores de amenazas abusan de LogMeIn Resolve y ScreenConnect en ataques de phishing de varias etapas

Una campaña de phishing cuidadosamente diseñada se ha dirigido a organizaciones en todo Estados Unidos, utilizando herramientas confiables de administración y monitoreo remoto (RMM) para evadir las defensas de seguridad y obtener acceso no autorizado a los sistemas de las víctimas. En lugar de implementar malware tradicional desde el principio, los actores de amenazas detrás de esta operación utilizaron software legítimo como arma (específicamente LogMeIn Resolve y ScreenConnect) para establecer silenciosamente un punto de apoyo antes de profundizar en las redes comprometidas.

En total, más de 80 organizaciones de múltiples sectores industriales en Estados Unidos se vieron afectadas. Cada correo electrónico contenía un enlace que apuntaba a sitios de distribución controlados por el atacante que albergaban instaladores legítimos de LogMeIn Resolve preconfigurados para registrar el dispositivo de la víctima en una cuenta de propiedad exclusiva y controlada por el atacante. Su investigación en curso reveló que la infraestructura de distribución de la campaña cambió repetidamente con el tiempo, con el actor de amenazas rotando entre páginas de destino temáticas, incluida una que imitaba a Microsoft Teams y otra con el estilo del software de seguridad Norton, posiblemente para adaptar la entrega en función de la ubicación del usuario o los atributos del navegador. Un ejemplo de uno de los señuelos maliciosos (Fuente: Sophos) Una vez que la víctima ejecutó el archivo descargado, el atacante obtuvo acceso remoto desatendido a través de la plataforma LogMeIn Resolve.

Después de la ejecución del binario descargado, se instala LogMeIn Resolve (Fuente: Sophos). La publicación Los actores de amenazas abusan de LogMeIn Resolve y ScreenConnect en ataques de phishing de múltiples etapas apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗