Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Campaña de phishing VENOMOUS#HELPER

Campaña de phishing VENOMOUS#HELPER

Por Mezo en Suplantación de identidad (phishing)
Traducir a:

Una sofisticada campaña de phishing, identificada como VENOMOUS#HELPER, ha estado activa desde al menos abril de 2025, utilizando múltiples vectores de ataque mediante el abuso de herramientas legítimas de Monitoreo y Administración Remota (RMM). Más de 80 organizaciones, principalmente en Estados Unidos, se han visto afectadas. Esta actividad coincide con la de grupos previamente documentados conocidos como STAC6405. Si bien la atribución aún es incierta, los patrones operativos se asemejan claramente a los de agentes de acceso inicial (IAB) con fines lucrativos o a grupos precursores de ransomware que buscan establecer bases para su posterior explotación.

Vivir de herramientas de confianza: El abuso del software RMM legítimo

En lugar de desplegar software abiertamente malicioso, los atacantes recurren a versiones personalizadas de herramientas legítimas como SimpleHelp y ConnectWise ScreenConnect. Dado que estas aplicaciones se utilizan habitualmente en entornos empresariales, su presencia suele eludir los controles de seguridad tradicionales y evitar levantar sospechas.

El despliegue simultáneo de ambas herramientas es una táctica deliberada. Al establecer canales de acceso remoto duales, los atacantes garantizan la resiliencia operativa. Si se detecta y neutraliza una conexión, el segundo canal permanece activo, lo que permite el acceso no autorizado continuo sin interrupción.

Punto de entrada para el phishing: Ingeniería social con un disfraz de confianza

La cadena de ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que suplanta la identidad de la Administración del Seguro Social de los Estados Unidos (SSA). El mensaje insta a los destinatarios a verificar su dirección de correo electrónico y descargar un supuesto estado de cuenta de la SSA a través de un enlace incrustado.

Cabe destacar que el enlace dirige a las víctimas a un sitio web comercial mexicano legítimo pero comprometido, lo que demuestra un intento intencional de eludir los filtros de spam y las defensas basadas en la reputación. Desde allí, las víctimas son redirigidas a un segundo dominio controlado por el atacante, que aloja el código malicioso disfrazado de documento legítimo.

Entrega y persistencia de la carga útil: Ingeniería para el acceso a largo plazo

Una vez descargado, el archivo malicioso, empaquetado como un ejecutable de Windows, inicia la instalación de la herramienta SimpleHelp RMM. Se cree que los atacantes comprometieron una cuenta de cPanel en el servidor de alojamiento para distribuir el archivo malicioso.

Tras su ejecución, el malware establece persistencia y resistencia a través de varios mecanismos:

  • Instalación como un servicio de Windows con capacidades de persistencia en modo seguro.
  • Implementación de un sistema de vigilancia autorreparable que reinicia automáticamente el servicio si este se interrumpe.
  • Enumeración periódica de los productos de seguridad instalados a través del espacio de nombres WMI root\SecurityCenter2 cada 67 segundos.
  • Monitorización continua de la actividad del usuario a intervalos de 23 segundos.

Estas técnicas garantizan que la presencia maliciosa permanezca activa, adaptable y difícil de erradicar.

Escalada de privilegios y control total del sistema

Para lograr un control interactivo total sobre el sistema comprometido, el cliente SimpleHelp eleva sus privilegios adquiriendo SeDebugPrivilege a través de AdjustTokenPrivileges. Además, se utiliza un componente legítimo del software, 'elev_win.exe', para obtener acceso a nivel de sistema.

Este nivel de privilegios elevado permite a los atacantes:

  • Supervise y capture la actividad de la pantalla.
  • Inyectar pulsaciones de teclas en tiempo real
  • Acceder a recursos sensibles dentro del contexto del usuario.

Estas capacidades otorgan, en la práctica, un control total sobre el entorno de la víctima sin activar las alertas de seguridad convencionales.

Estrategia de acceso redundante: ScreenConnect como canal de respaldo

Tras establecer el canal de acceso principal, los atacantes implementan ConnectWise ScreenConnect como mecanismo de acceso remoto secundario. Esto garantiza la persistencia incluso si se identifica y bloquea la conexión inicial con SimpleHelp.

El uso de múltiples herramientas legítimas pone de manifiesto una estrategia de acceso por capas diseñada para la durabilidad y el sigilo, lo que complica los esfuerzos de detección y respuesta ante incidentes.

Impacto Operacional: Control Silencioso Bajo el Radar

La versión SimpleHelp (5.0.1) implementada ofrece un conjunto robusto de funciones de administración remota. Una vez integrada en el entorno, los atacantes obtienen la capacidad de operar con libertad y discreción. La organización comprometida queda expuesta a una explotación continua, ya que los atacantes pueden volver a acceder al sistema a su antojo.

El entorno se convierte, de hecho, en un activo controlado, donde los adversarios pueden ejecutar comandos silenciosamente, transferir archivos en ambas direcciones y moverse lateralmente por la red. Dado que toda la actividad parece provenir de software legítimamente firmado producido por un proveedor británico de buena reputación, los antivirus tradicionales y las defensas basadas en firmas a menudo no logran detectar la intrusión.

Conclusión: Un plan maestro para las intrusiones modernas

VENOMOUS#HELPER ejemplifica la creciente tendencia de aprovechar herramientas administrativas legítimas con fines maliciosos. Mediante la combinación de ingeniería social, el abuso de software de confianza y mecanismos de acceso redundantes, la campaña logra persistencia, sigilo y flexibilidad operativa. Este enfoque subraya la necesidad urgente de monitorizar el comportamiento, aplicar principios de confianza cero y reforzar el control sobre el uso de herramientas legítimas en entornos empresariales.

 

Tendencias

Mas Visto

Cargando...