La campaña de phishing de AnyDesk
En una campaña de phishing descubierta recientemente por investigadores de Malwarebytes, los atacantes se dirigieron a víctimas potenciales por correo electrónico o SMS, personalizados para que coincidieran con sus funciones dentro de la organización.
Pero en lugar de realizar phishing para obtener información directamente de las víctimas, los atacantes pretendían hacerles descargar software de administración y monitoreo remoto (RMM), en este caso, un ejecutable AnyDesk obsoleto (pero legítimo).
Para lograrlo, se dirigió a las víctimas a sitios web recién registrados que imitaban a varias instituciones financieras y se les pidió que descargaran una “aplicación de chat en vivo”.
La web falsa que se hace pasar por Barclays. (Fuente: Malwarebytes)
“Al ejecutar el programa se mostrará un código que puedes darle a la persona que intenta ayudarte. Esto puede permitir a un atacante obtener el control de la máquina y realizar acciones que parecen provenir directamente del usuario”, señalaron los investigadores de Malwarebytes .
Desafortunadamente, muchos sitios bancarios no pueden detectar si un cliente está ejecutando un programa de acceso remoto mientras intenta iniciar sesión y, a veces, los actores de amenazas logran evadir estas detecciones (cuando están presentes).
A los piratas informáticos les encanta usar el software RRM
Las campañas de phishing que llevan a las víctimas a descargar RMM no son nuevas y se han observado dirigidas incluso a agencias gubernamentales.
La popularidad y el uso común de RMM (como AnyDesk y ConnectWise Control) dentro de las organizaciones han llamado la atención de los ciberdelincuentes que los ven como una herramienta útil que pueden aprovechar para violar una red y acceder a datos confidenciales.
AnyDesk también sufrió recientemente una violación de datos que comprometió sus sistemas de producción. Dado su uso generalizado entre varias organizaciones, un incidente de este tipo podría tener consecuencias importantes.
Para evitar que los atacantes aprovechen herramientas legítimas, se recomienda a las organizaciones:
- Actualizar y monitorear continuamente su inventario de software.
- Considere eliminar herramientas innecesarias
- Restringir las herramientas que podrían ayudar a la explotación (la aprobación de uso debe tener un límite de tiempo)
- Reconocer la actividad habitual de la estación de trabajo y señalar anomalías.
- Parchee y actualice periódicamente
Fuente y redacción: Helga Labus / helpnetsecurity.com